PT-2022-20927 · Apache · Apache Tapestry
Atorralba
+3
·
Publicado
2022-07-13
·
Atualizado
2023-08-02
·
CVE-2022-31781
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Apache Tapestry até a 5.8.1
Descrição
O problema está relacionado a um ataque de negação de serviço por expressão regular (ReDoS) na forma como o Apache Tapestry lida com tipos de conteúdo. Tipos de conteúdo especialmente criados podem causar um backtracking catastrófico, levando um tempo exponencial para ser concluído, devido à expressão regular usada no parâmetro da classe
org.apache.tapestry5.http.ContentType. Essa vulnerabilidade não pode ser acionada apenas por solicitações da web no código do Tapestry e só ocorreria se código não pertencente ao Tapestry passasse entradas externas para o construtor da classe ContentType.Recomendações
Para versões do Apache Tapestry até a 5.8.1, atualize para a versão 5.8.2 para resolver o problema. Como solução temporária, considere restringir o uso da classe
org.apache.tapestry5.http.ContentType para minimizar o risco de exploração, especialmente ao lidar com entradas externas.Correção
Resource Exhaustion
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Apache Tapestry