CVE-2024-1892

Versões do Scrapy de 2.6.0 a 2.11.0

Versões do Scrapy anteriores à 1.8.4

Existe uma vulnerabilidade de negação de serviço por expressão regular (ReDoS) na classe XMLFeedSpider do projeto Scrapy, especificamente na análise de conteúdo XML. Ao criar conteúdo XML malicioso que explora a complexidade ineficiente das expressões regulares usadas no processo de análise, um invasor pode causar uma condição de negação de serviço (DoS). Essa vulnerabilidade permite que o sistema trave e consuma recursos significativos, potencialmente tornando os serviços que utilizam o Scrapy para processamento de XML indisponíveis. O tratamento de uma resposta maliciosa pode causar uso extremo de CPU e memória durante a análise de seu conteúdo, devido ao uso de expressões regulares vulneráveis para essa análise.

Para as versões do Scrapy 2.6.0 a 2.11.0, atualize para o Scrapy 2.11.1.

Para versões do Scrapy anteriores à 1.8.4, atualize para o Scrapy 1.8.4.

Como solução alternativa temporária para o XMLFeedSpider, altere o iterador de nós para xml ou html.

Para o open in browser, antes de usar a função, revise manualmente o conteúdo da resposta para descartar um ataque ReDoS ou defina manualmente a tag base para evitar sua definição automática pelo open in browser posteriormente.