Vulnerabilidad en un método "quote" en la clase "MessagesController" de OpenProject (CVE-2021-32763)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/07/2021

Última modificación:

25/04/2022

Descripción

OpenProject es un software de administración de proyectos de código abierto basado en la web. En versiones anteriores a 11.3.3, la clase "MessagesController" de OpenProject presenta un método "quote" que implementa la lógica detrás del botón Quote en los foros de discusión, y usa una regex para eliminar las etiquetas "(pre)" del mensaje que se está citando. La parte "(.|\s)" puede coincidir con un carácter de espacio de dos maneras, por lo que una etiqueta "(pre)" no terminada que contenga "n" espacios causa que el motor regex de Ruby retroceda para intentar 2(sup)n(/sup) estados en el NFA. Esto resultaría en una Denegación de Servicio de Expresión Regular. El problema es corregido en OpenProject versión11.3.3. Como solución, se puede instalar el parche manualmente

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico