PT-2022-17569 · Npm · Pg-Native+1
Cristian-Alexandru Staicu
·
Publicado
2022-06-17
·
Atualizado
2023-10-11
·
CVE-2022-25852
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do pg-native anteriores à 3.0.1
Versões do libpq anteriores à 1.8.10
Descrição
O problema está relacionado a uma condição de Negação de Serviço (DoS) que ocorre quando os complementos tentam converter o segundo argumento em uma matriz e falham. Isso acontece para cada argumento que não seja uma matriz que seja passado. O problema foi encontrado no pg-native, que é uma ligação à biblioteca libpq do npm, e pode afetar transitivamente a libpq do npm.
Recomendações
Para versões do pg-native anteriores à 3.0.1, atualize para a versão 3.0.1 ou posterior para resolver o problema.
Para versões do libpq anteriores à 1.8.10, atualize para a versão 1.8.10 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso da biblioteca
libpq vulnerável até que um patch esteja disponível. Evite usar argumentos que não sejam matrizes nos pontos de extremidade da API afetados até que o problema seja resolvido.Exploit
Correção
Resource Exhaustion
Incorrect Type Conversion or Cast
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Libpq
Pg-Native