CVE-2024-34075

Versões do kurwov anteriores à 3.2.5

O problema decorre de uma sanitização inadequada do conteúdo do conjunto de dados no método MarkovData#getNext, utilizado em Markov#generate e Markov#choose. Isso permite que uma string criada de forma maliciosa no conjunto de dados gere uma exceção e impeça a função de ser executada corretamente. Se uma string contiver uma substring proibida (por exemplo, proto) seguida por um espaço, o código acessará uma propriedade especial em MarkovData#finalData removendo o último caractere da string, contornando a sanitização do conjunto de dados. Qualquer conjunto de dados pode ser contaminado com a substring, tornando-o incapaz de gerar nada corretamente em alguns casos.

Para versões do kurwov anteriores à 3.2.5, atualize para a versão 3.2.5 para resolver o problema. Como solução temporária, considere evitar o uso do método MarkovData#getNext ou restringir o acesso a conjuntos de dados contaminados até que a atualização seja aplicada. Além disso, evite usar a subcadeia proto em strings de conjuntos de dados para minimizar o risco de exploração.