PT-2022-24941 · Npm · Hummus+1
Kilsen
+1
·
Publicado
2022-11-02
·
Atualizado
2022-11-04
·
CVE-2022-39381
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do muhammara anteriores à 2.6.0
hummus (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma condição de Negação de Serviço (DoS) que ocorre quando um arquivo PDF criado de forma maliciosa é fornecido para ser anexado a outro. Isso pode acontecer nos pacotes muhammara e hummus, que são módulos Node.js com ligações C/C++ usados para modificar PDFs com JavaScript para Node.js ou Electron. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para versões do muhammara anteriores à 2.6.0, atualize para a versão 2.6.0 ou posterior para resolver o problema.
Para o hummus, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Como solução alternativa temporária para ambos os pacotes, não processe arquivos de fontes não confiáveis.
Exploit
NULL Pointer Dereference
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hummus
Muhammara