PT-2022-22315 · Mistune+1 · Mistune+1

Lepture

Publicado

2022-07-25

Atualizado

2025-01-12

CVE-2022-34749

CVSS v4.0

8.8

Alta

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:H/SC:N/SI:N/SA:N

Nome do software vulnerável e versões afetadas

Mistune versões 2.0.2 e anteriores

Descrição

O problema decorre do suporte a marcação inline no Mistune, que utiliza expressões regulares. Essas expressões regulares podem levar a um grande volume de retrocesso em certos casos extremos, um comportamento comumente conhecido como retrocesso catastrófico.

Recomendações

Para as versões 2.0.2 e anteriores do Mistune, considere atualizar para uma versão que resolva o problema do backtracking catastrófico nas expressões regulares usadas para o suporte a marcação inline.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333

Identificadores relacionados

AZL-10403

CVE-2022-34749

GHSA-FW3V-X4F2-V673

OPENSUSE-SU-2024:12350-1

OPENSUSE-SU-2024:13453-1

OPENSUSE-SU-2025:14637-1

PYSEC-2022-237

RHSA-2026:2711

RHSA-2026:2769

Produtos afetados

Debian

Mistune

PT-2022-22315 · Mistune+1 · Mistune+1

CVE-2022-34749

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 23