Vulnerabilidad en las cadenas que contienen muchas repeticiones de "\r\n" en los comentarios SQL en sqlparse (CVE-2021-32839)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-400 Consumo de recursos no controlado (Agotamiento de recursos)

Fecha de publicación:

20/09/2021

Última modificación:

03/11/2025

Descripción

sqlparse es un módulo analizador de SQL no comprobable para Python. En las versiones 0.4.0 y 0.4.1 de sqlparse, se presenta una vulnerabilidad de Denegación de Servicio por Expresión regular en sqlparse. La expresión regular puede causar un retroceso exponencial en las cadenas que contienen muchas repeticiones de "\r\n" en los comentarios SQL. Sólo la función de formato que elimina los comentarios de las sentencias SQL esta afectada por esta expresión regular. Como solución, no use la función sqlformat.format con la palabra clave strip_comments=True o el indicador de línea de comandos --strip-comments cuando use la herramienta de línea de comandos sqlformat. Este problema ha sido corregido en sqlparse versión 0.4.2

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico