PT-2022-6598 · Atlassian+8 · Confluence+8

Publicado

2022-02-06

·

Atualizado

2026-06-04

·

CVE-2022-3517

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões 7.19.0 e anteriores do minimatch
Versões anteriores à 9.1.0 do Confluence Data Center
Descrição
Foi encontrada uma vulnerabilidade no pacote minimatch, permitindo um ataque de negação de serviço por expressão regular (ReDoS) ao chamar a função braceExpand com argumentos específicos, resultando em uma negação de serviço. Essa falha pode ser explorada por um invasor remoto para realizar um ataque de negação de serviço usando expressões regulares. O problema tem alto impacto na disponibilidade e não requer interação do usuário.
Recomendações
Para as versões 7.19.0 e anteriores do minimatch, considere desativar a função braceExpand como uma solução temporária até que um patch esteja disponível.
Para as versões do Confluence Data Center anteriores à 9.1.0, atualize para uma versão igual ou superior à 9.1.0 para resolver o problema.

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-400CWE-1333

Identificadores relacionados

ALSA-2022:8832
ALSA-2022:8833
ALSA-2022:9073
ALSA-2023:0050
ALSA-2023:0321
ALSA-2023:1743
AZL-44451
AZL-44946
BDU:2023-02699
CESA-2022_8833
CESA-2022_9073
CESA-2023_0050
CESA-2023_1743
CVE-2022-3517
DLA-3271-1
GHSA-F8Q6-P94X-37V3
MGASA-2025-0194
OESA-2022-2028
RHSA-2022:8832
RHSA-2022:8833
RHSA-2022:9073
RHSA-2022_8832
RHSA-2022_8833
RHSA-2022_9073
RHSA-2023:0050
RHSA-2023:0321
RHSA-2023:0612
RHSA-2023:1533
RHSA-2023:1742
RHSA-2023:1743
RHSA-2023_0050
RHSA-2023_0321
RHSA-2023_1743
RLSA-2022:8832
RLSA-2022:8833
RLSA-2022:9073
RLSA-2023:0050
RLSA-2023:0321
RLSA-2023:1743
USN-6086-1

Produtos afetados

Almalinux
Astra Linux
Centos
Confluence
Linuxmint
Red Hat
Red Os
Rocky Linux
Ubuntu