PT-2022-20550 · Moment+5 · Moment+6

Hernev

Publicado

2022-07-06

Atualizado

2026-06-04

CVE-2022-31129

CVSS v2.0

7.8

Alta

Vetor

AV:N/AC:L/Au:N/C:N/I:N/A:C

Nome do software vulnerável e versões afetadas

Versões do moment anteriores à 2.29.4

Descrição

O problema está relacionado a um algoritmo de análise ineficiente utilizado na biblioteca de data do JavaScript moment, especificamente na análise de strings para datas e na análise rfc2822. Isso resulta em complexidade quadrática em entradas específicas, causando uma lentidão perceptível com entradas acima de 10 mil caracteres. Usuários que passam strings fornecidas pelo usuário sem verificações de comprimento válidas para o construtor do moment estão vulneráveis a ataques (Re)DoS.

Recomendações

Para versões do moment anteriores à 2.29.4, atualize para a versão 2.29.4 ou posterior.

Como solução alternativa temporária, considere limitar o comprimento da entrada do usuário a algo razoável, como 200 caracteres ou menos, para minimizar o risco de exploração.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333CWE-400

Identificadores relacionados

BDU:2026-00717

CVE-2022-31129

DLA-3295-1

GHSA-3XQ5-WJFH-PPJC

GHSA-WC69-RHJR-HC9G

MGASA-2022-0323

MGASA-2024-0067

RHSA-2022:6272

RHSA-2022:6277

RHSA-2022:6392

RHSA-2022:6393

RHSA-2023:1043

RHSA-2023:1044

RHSA-2023:1045

RHSA-2023:1486

RHSA-2023:3623

SUSE-SU-2022:3313-1

SUSE-SU-2022:3314-1

SUSE-SU-2022:3761-1

SUSE-SU-2023:0592-1

USN-5559-1

USN-6550-1

Produtos afetados

Astra Linux

Bitbucket

Confluence

Linuxmint

Suse

Ubuntu

Moment

PT-2022-20550 · Moment+5 · Moment+6

CVE-2022-31129

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 210