Vulnerabilidad en Action Mailer (CVE-2024-47889)
Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/10/2024
Última modificación:
18/10/2024
Descripción
Action Mailer es un framework para diseñar capas de servicio de correo electrónico. A partir de la versión 3.0.0 y anteriores a las versiones 6.1.7.9, 7.0.8.5, 7.1.4.1 y 7.2.1.1, existe una posible vulnerabilidad de ReDoS en el asistente block_format de Action Mailer. Un texto cuidadosamente elaborado puede hacer que el asistente block_format tarde una cantidad inesperada de tiempo, lo que puede dar como resultado una vulnerabilidad de DoS. Todos los usuarios que ejecuten una versión afectada deben actualizar a las versiones 6.1.7.9, 7.0.8.5, 7.1.4.1 o 7.2.1.1 o aplicar el parche correspondiente de inmediato. Como workaround, los usuarios pueden evitar llamar al asistente `block_format` o actualizar a Ruby 3.2. Ruby 3.2 tiene mitigaciones para este problema, por lo que las aplicaciones Rails que usan Ruby 3.2 o versiones más nuevas no se ven afectadas. Rails 8.0.0.beta1 requiere Ruby 3.2 o superior, por lo que no se ve afectado.
Referencias a soluciones, herramientas e información
- https://github.com/rails/rails/commit/0e5694f4d32544532d2301a9b4084eacb6986e94
- https://github.com/rails/rails/commit/3612e3eb3fbafed4f85e1c6ea4c7b6addbb0fdd3
- https://github.com/rails/rails/commit/985f1923fa62806ff676e41de67c3b4552131ab9
- https://github.com/rails/rails/commit/be898cc996986decfe238341d96b2a6573b8fd2e
- https://github.com/rails/rails/security/advisories/GHSA-h47h-mwp9-c6q6