PT-2022-20527 · Rulex · Rulex
Evan Richter
·
Publicado
2022-05-21
·
Atualizado
2022-07-11
·
CVE-2022-31100
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do rulex anteriores à 0.4.3
Descrição
Ao analisar expressões rulex não confiáveis, o rulex pode travar, possibilitando um ataque de Negação de Serviço. Isso ocorre quando a expressão contém um ponto de código UTF-8 multibyte em uma string literal ou após uma barra invertida, pois o rulex tenta dividir o ponto de código e entra em pânico como resultado. Isso representa um risco de segurança para serviços que analisam expressões rulex não confiáveis e ficam indisponíveis quando a thread que executa o rulex entra em pânico.
Recomendações
Atualize para a versão 0.4.3 para corrigir o problema.
Como solução alternativa temporária, considere usar
catch unwind para recuperar de erros graves ou presuma que a análise de expressões regulares irá gerar erros graves e adicione lógica para capturar esses erros.Exploit
Correção
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Rulex