Vulnerabilidad en la etiqueta "(blockquote)" con inclusión de caracteres multibyte_ en jsx-slack (CVE-2021-43843)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/12/2021
Última modificación:
09/08/2022
Descripción
jsx-slack es un paquete para construir objetos JSON para las superficies del kit de bloques Slack desde JSX. Los mantenedores encontraron que el parche para CVE-2021-43838 en jsx-slack versión v4.5.1, es insuficiente para la protección contra un ataque de denegación de servicio por expresión regular (ReDoS). Si un atacante puede poner muchos elementos JSX en la etiqueta "(blockquote)" con inclusión de caracteres multibyte_, una expresión regular interna para el escape de caracteres puede consumir una cantidad excesiva de recursos informáticos. jsx-slack versión v4.5.1, pasa la prueba contra caracteres ASCII pero falla en el caso de los caracteres multibyte. jsx-slack versión v4.5.2, ha actualizado las expresiones regulares para el escape de caracteres blockquote con el fin de evitar el retroceso catastrófico. También incluye un caso de prueba actualizado para confirmar la representación de múltiples etiquetas en "(blockquote)" con caracteres multibyte
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:jsx-slack_project:jsx-slack:*:*:*:*:*:node.js:*:* | 4.5.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página