PT-2024-10474 · Pypi+4 · Sqlparse+4

Uriya Yavnieli

·

Publicado

2024-04-15

·

Atualizado

2025-01-21

·

CVE-2024-4340

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
sqlparse (versões afetadas não especificadas)
Descrição
O problema está relacionado à função sqlparse.parse(), que pode levar a uma negação de serviço devido a um erro de recursão (RecursionError) ao processar uma lista fortemente aninhada. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. O impacto depende do uso da função sqlparse.parse(), e qualquer pessoa que analise entradas do usuário com essa função é afetada.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução temporária, considere limitar a profundidade de recursão na função flatten() da classe TokenList para evitar recursão excessiva. Por exemplo, você pode modificar a função para gerar um erro quando a profundidade máxima for atingida.

DoS

Uncontrolled Recursion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-674

Identificadores relacionados

BDU:2025-01019
CVE-2024-4340
DLA-4000-1
GHSA-2M57-HF25-PHGG
GHSA-62QF-JCQ8-8GXW
MGASA-2024-0185
OESA-2024-1533
OESA-2024-1603
OESA-2024-1646
OPENSUSE-SU-2024_1767-1
OPENSUSE-SU-2024_1861-1
RHSA-2024:3781
RHSA-2024:9984
RHSA-2024:9986
RHSA-2025:1335
RHSA-2025:9838
SUSE-SU-2024:1767-1
SUSE-SU-2024:1861-1
SUSE-SU-2024_1767-1
SUSE-SU-2024_1861-1
USN-6771-1

Produtos afetados

Linuxmint
Red Os
Suse
Ubuntu
Sqlparse