PT-2022-6868 · Google+3 · Angular+3
Michael Prentice
·
Publicado
2022-05-01
·
Atualizado
2026-06-04
·
CVE-2022-25844
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Angular 1.7.0 e superiores
Descrição
O problema está relacionado ao uso de uma expressão regular com complexidade computacional ineficiente no ambiente de design de aplicativos Angular e na plataforma de desenvolvimento de aplicativos de página única. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade é acionada ao fornecer uma regra de localização personalizada que permite atribuir um valor alto ao parâmetro
posPre em NUMBER FORMATS.PATTERNS[1].posPre usando o método ‘ ’.repeat().Recomendações
Para as versões 1.7.0 e superiores, considere desativar a funcionalidade de regra de localização personalizada até que uma correção esteja disponível, ou restrinja o uso do parâmetro
posPre em NUMBER FORMATS.PATTERNS[1].posPre para impedir a atribuição de valores altos.No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Angular
Debian
Linuxmint
Ubuntu