PT-2024-2442 · Black+1 · Black+1

Sajeeb Lohani

·

Publicado

2024-03-18

·

Atualizado

2025-01-24

·

CVE-2024-21503

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do software vulnerável e versões afetadas
Versões do black anteriores à 24.3.0
Descrição
O problema está relacionado a uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) por meio da função lines with leading tabs expanded no arquivo strings.py. Um invasor poderia explorar essa vulnerabilidade criando uma entrada maliciosa que causasse uma negação de serviço. Isso é possível ao executar o Black com entradas não confiáveis ou se milhares de caracteres de tabulação à esquerda forem habitualmente inseridos em docstrings.
Recomendações
Para versões anteriores à 24.3.0, atualize para a versão 24.3.0 ou posterior para resolver o problema. Como solução temporária, considere evitar o uso da função lines with leading tabs expanded ou restringir a entrada a fontes confiáveis até que um patch seja aplicado.

Correção

DoS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333CWE-75

Identificadores relacionados

BDU:2024-02397
CVE-2024-21503
GHSA-FJ7X-Q9J7-G6Q6
OPENSUSE-SU-2024:13783-1
PYSEC-2024-48
RHSA-2024:3781
SUSE-SU-2024:2481-1

Produtos afetados

Debian
Black