Vulnerabilidad en el backtracking en un archivo en Apache Tika (CVE-2022-30126)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/05/2022
Última modificación:
19/10/2022
Descripción
En Apache Tika, una expresión regular en nuestra clase StandardsText, usada por el StandardsExtractingContentHandler podría conllevar a una denegación de servicio causada por el backtracking en un archivo especialmente diseñado. Esto sólo afecta a usuarios que ejecutan StandardsExtractingContentHandler, que es un manejador no estándar. Esto ha sido corregido en versiones 1.28.2 y 2.4.0
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:apache:tika:*:*:*:*:*:*:*:* | 1.28.3 (excluyendo) | |
| cpe:2.3:a:apache:tika:*:*:*:*:*:*:*:* | 2.0.0 (incluyendo) | 2.4.0 (excluyendo) |
| cpe:2.3:a:oracle:primavera_unifier:*:*:*:*:*:*:*:* | 17.7 (incluyendo) | 17.12 (incluyendo) |
| cpe:2.3:a:oracle:primavera_unifier:18.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:primavera_unifier:19.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:primavera_unifier:20.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:oracle:primavera_unifier:21.12:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2022/05/16/3
- http://www.openwall.com/lists/oss-security/2022/05/31/2
- http://www.openwall.com/lists/oss-security/2022/06/27/5
- https://lists.apache.org/thread/dh3syg68nxogbmlg13srd6gjn3h2z6r4
- https://security.netapp.com/advisory/ntap-20220624-0004/
- https://www.oracle.com/security-alerts/cpujul2022.html