Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el envío de direcciones de correo electrónico en RegEx en la clase EmailValidator en com.vaadin: vaadin-server (CVE-2020-36320)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
23/04/2021
Última modificación:
05/05/2021

Descripción

Una comprobación no segura de RegEx en la clase EmailValidator en com.vaadin: vaadin-server versiones 7.0.0 hasta 7.7.21 (Vaadin versiones 7.0.0 hasta 7.7.21) permite a atacantes causar un consumo de recursos no controlado al enviar direcciones de correo electrónico maliciosas

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* 7.0.0 (incluyendo) 7.7.22 (excluyendo)