PT-2022-6568 · Unknown+8 · Python Charmers Future+8

Wshanks

·

Publicado

2022-12-22

·

Atualizado

2026-06-03

·

CVE-2022-40899

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Python Charmers, versões 0.18.2 e anteriores
Descrição
O problema está relacionado à validação inadequada de entradas ao lidar com o cabeçalho Set-Cookie, permitindo que um invasor remoto envie uma solicitação HTTP especialmente criada e execute um ataque de negação de serviço usando expressões regulares, especificamente um ataque ReDoS. Isso pode levar a um uso excessivo da CPU.
Recomendações
Para as versões 0.18.2 e anteriores, atualize para a versão 0.18.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao cabeçalho Set-Cookie para minimizar o risco de exploração. Evite usar o cabeçalho Set-Cookie no endpoint da API afetado até que o problema seja resolvido.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-185

Identificadores relacionados

ALT-PU-2023-1823
ALT-PU-2025-11603
BDU:2023-02446
CVE-2022-40899
GHSA-V3C5-JQR6-7QM8
MGASA-2023-0030
OESA-2023-1176
OPENSUSE-SU-2023_0079-1
OPENSUSE-SU-2024:12597-1
PYSEC-2022-42991
RHSA-2023:2101
RHSA-2023:4466
RHSA-2023:6818
RLSA-2023:6818
SUSE-SU-2023:0076-1
SUSE-SU-2023:0078-1
SUSE-SU-2023:0079-1
SUSE-SU-2023:0080-1
SUSE-SU-2023:0663-1
SUSE-SU-2023_0076-1
SUSE-SU-2023_0078-1
SUSE-SU-2023_0079-1
SUSE-SU-2023_0080-1
SUSE-SU-2023_0663-1
USN-5833-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Linuxmint
Python Charmers Future
Red Os
Rocky Linux
Suse
Ubuntu