Vulnerabilidad en ReportPortal (CVE-2023-25822)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
09/10/2023
Última modificación:
13/10/2023
Descripción
ReportPortal es una plataforma de automatización de pruebas impulsada por IA. Antes de la versión 5.10.0 del módulo `com.epam.reportportal:service-api`, correspondiente a la versión 23.2 de ReportPortal, la base de datos de ReportPortal se vuelve inestable y los informes se detienen casi por completo, excepto en pequeños inicios con aproximadamente 1 prueba interna cuando se ejecuta test_item. El campo de ruta ha excedido el límite de indexación de tipo de campo `ltree` permitido (path length>=120, anidamiento aproximadamente recursivo de los pasos anidados). REINDEX INDEX path_gist_idx y path_idx no reciben ayuda. El problema se solucionó en la versión 5.10.0 del módulo `com.epam.reportportal:service-api` (versión 23.2 del producto), donde el número máximo de elementos anidados estaba limitado mediante programación. Hay un workaround disponible. Después de eliminar los datos con rutas largas y reindexar ambos índices (path_gist_idx y path_idx), la base de datos se estabiliza y ReportPortal funciona correctamente.
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:reportportal:reportportal:*:*:*:*:*:*:*:* | 23.2 (excluyendo) | |
| cpe:2.3:a:reportportal:service-api:*:*:*:*:*:*:*:* | 5.10.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página