Vulnerabilidad en la comprobación de la dirección de correo electrónico en Schema-Inspector (CVE-2021-21267)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
19/03/2021
Última modificación:
30/06/2022
Descripción
Schema-Inspector es una herramienta de código abierto para sanear y comprobar objetos JS (el inspector de esquema del paquete npm). versiones anteriores a 2.0.0, la comprobación de la dirección de correo electrónico es vulnerable a un ataque de denegación de servicio donde alguna entrada (por ejemplo, "a@0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 .0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 ") congelará el programa o la página del navegador web que ejecuta el código. Esto afecta a cualquier usuario actual del inspector de esquemas que usan cualquier versión para comprobar direcciones de correo electrónico. Los usuarios que no realizan la comprobación por correo electrónico y, en su lugar, realizan otros tipos de comprobación (como la longitud mínima o máxima de la cadena, etc.), no están afectados. Los usuarios deben actualizar a la versión 2.0.0, que usa una expresión regular que no es vulnerable a ReDoS
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:schema-inspector_project:schema-inspector:*:*:*:*:*:node.js:*:* | 2.0.0 (excluyendo) | |
| cpe:2.3:a:netapp:e-series_performance_analyzer:-:*:*:*:*:*:*:* | ||
| cpe:2.3:a:netapp:oncommand_insight:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página