PT-2024-6620 · Unknown · Find-My-Way
Publicado
2024-09-18
·
Atualizado
2024-09-20
·
CVE-2024-45813
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas:
versões do find-my-way anteriores à 8.2.2
versões do find-my-way anteriores à 9.0.1
Descrição:
O problema está relacionado à geração de uma expressão regular incorreta quando dois parâmetros estão dentro de um único segmento e um
- é adicionado no final, como /:a-:b-. Isso pode causar uma negação de serviço em alguns casos. O problema está associado ao uso de uma expressão regular com complexidade computacional ineficiente, que pode ser explorada por um invasor remoto para causar uma negação de serviço.Recomendações:
Atualize para a versão 8.2.2 ou 9.0.1 do find-my-way, ou versões posteriores.
Como solução temporária, considere evitar o uso de dois parâmetros dentro de um único segmento com um
- no final, como /:a-:b-, até que um patch esteja disponível.Restrinja o acesso ao módulo
find-my-way vulnerável para minimizar o risco de exploração.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Find-My-Way