PT-2024-18951 · Eslint · @Eslint/Plugin-Kit
Rongchen Li
·
Publicado
2024-11-15
·
Atualizado
2024-11-19
·
CVE-2024-21539
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do @eslint/plugin-kit anteriores à 0.2.3
Descrição
O problema está relacionado a um ataque de negação de serviço por expressão regular (ReDoS) devido à sanitização inadequada de entradas. Um invasor pode aumentar o uso da CPU e travar o programa explorando essa vulnerabilidade. A criação de uma string muito grande e bem elaborada também pode aumentar o uso da CPU e travar o programa.
Recomendações
Para versões anteriores à 0.2.3, atualize para a versão 0.2.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o tamanho da entrada para impedir que strings grandes sejam processadas pela função ConfigCommentParser. Evite usar a função ConfigCommentParser com entradas não confiáveis até que o problema seja resolvido.
Correção
DoS
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
@Eslint/Plugin-Kit