Vulnerabilidad en rulex (CVE-2022-31099)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

27/06/2022

Última modificación:

11/07/2022

Descripción

rulex es un nuevo lenguaje de expresiones regulares portátil. Cuando son analizadas expresiones de rulex que no son confiables, la pila puede desbordarse, permitiendo posiblemente un ataque de Denegación de Servicio. Esto sucede cuando es analizada una expresión con varios cientos de niveles de anidamiento, causando que el proceso sea abortado inmediatamente. Esto es un problema de seguridad para usted, si su servicio analiza expresiones rulex que no son confiables (expresiones proporcionadas por un usuario que no es confiable), y su servicio no está disponible cuando el proceso que ejecuta rulex aborta debido a un desbordamiento de la pila. El bloqueo ha sido corregido en versión **0.4.3**. Es recomendado a usuarios afectados actualizar a esta versión. No se presentan mitigaciones conocidas para este problema

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

6.50

Gravedad 3.x

MEDIA

Vector 2.0

AV:N/AC:L/Au:S/C:N/I:N/A:P CVSS v2.0 Severidad y Métricas:

Puntuación base: 4.00 MEDIA
Vector: AV:N/AC:L/Au:S/C:N/I:N/A:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Simple
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Físico