PT-2024-40232 — League Of Extraordinary Packages League/Commonmark

PT-2024-40232 · League Of Extraordinary Packages · League/Commonmark

Publicado

2024-12-09

Atualizado

2024-12-09

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Nome do software vulnerável e versões afetadas:

Versões do league/commonmark anteriores à 2.6.0

Descrição:

O problema está relacionado a questões de complexidade de tempo polinomial na biblioteca league/commonmark, o que pode levar ao esgotamento ilimitado de recursos e à negação de serviço. Usuários mal-intencionados podem acionar código ineficiente com entradas Markdown cuidadosamente elaboradas, potencialmente ocupando todos os recursos de CPU disponíveis e/ou processos PHP-FPM. Isso pode resultar em negação de serviço para usuários legítimos.

Recomendações:

Para versões anteriores à 2.6.0, atualize para a versão 2.6.0 o mais rápido possível.

Se não for possível atualizar, considere as seguintes soluções alternativas:

Defina configurações muito baixas de memory limit e max execution time no PHP para evitar o uso descontrolado de recursos
Implemente limitação de taxa, proteção contra bots ou outras abordagens para reduzir o risco de solicitações maliciosas simultâneas atingirem seu site
Limite o tamanho das entradas fornecidas a esta biblioteca (especificamente o comprimento máximo de cada linha)
Limite o uso desta biblioteca a usuários confiáveis

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-407

Identificadores relacionados

GHSA-C2PC-G5QF-RFRF

Produtos afetados

League/Commonmark