PT-2022-28156 · Luxon+1 · Luxon+1
Vovikhangcdv
·
Publicado
2022-07-06
·
Atualizado
2026-06-04
·
CVE-2023-22467
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões 1.x do Luxon anteriores à 1.38.1
Versões 2.x do Luxon anteriores à 2.5.2
Versões 3.x do Luxon anteriores à 3.2.1
Versões do Moment anteriores à 2.29.4
Descrição
O problema está relacionado à complexidade quadrática (N^2) na análise de data e hora em entradas específicas, causando uma lentidão perceptível para entradas com comprimentos acima de 10 mil caracteres. Usuários que fornecem dados não confiáveis aos métodos afetados estão vulneráveis a ataques (Re)DoS. O problema tem origem no código que remove comentários legados de strings durante a análise rfc2822.
Recomendações
Para versões do Luxon 1.x anteriores à 1.38.1, atualize para a versão 1.38.1 ou posterior.
Para versões do Luxon 2.x anteriores à 2.5.2, atualize para a versão 2.5.2 ou posterior.
Para versões do Luxon 3.x anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior.
Para versões do Moment anteriores à 2.29.4, atualize para a versão 2.29.4 ou posterior.
Como solução temporária, considere limitar o comprimento da entrada a algo razoável, como 200 caracteres ou menos, para minimizar o risco de exploração.
Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Luxon
Moment