CVE-2021-32837

mechanize vulnerable to ReDoS

CVSS 7.5 HIGHEPSS 26.7%CWE-1333

En resumen

La biblioteca mechanize contiene una expresión regular vulnerable que puede ser explotada por un servidor web malicioso para bloquear la aplicación enviando respuestas especialmente diseñadas. Esto ocurre porque la regex tarda demasiado tiempo en procesar ciertos patrones de entrada.

Detalle técnico

La biblioteca mechanize anterior a la versión 0.4.6 contiene una vulnerabilidad ReDoS (Denegación de Servicio por Expresión Regular) en su patrón regex (CWE-1333). Un atacante puede crear una respuesta HTTP maliciosa que provoca retroceso catastrófico en el motor regex, causando cuelgue o fallo de la aplicación. El vector de ataque no requiere autenticación, solo que la aplicación procese una respuesta de un servidor accesible por la red.

Resumen generado y traducido por IA a partir de la descripción oficial.

mechanize, a library for automatically interacting with HTTP web servers, contains a regular expression that is vulnerable to regular expression denial of service (ReDoS) prior to version 0.4.6. If a web server responds in a malicious way, then mechanize could crash. Version 0.4.6 has a patch for the issue.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

python-mechanize · mechanize

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/python-mechanize/mechanize/blob/3acb1836f3fd8edc5a758a417dd46b53832ae3b5/mechanize/_urllib2_fork.py#L878-L879 https://github.com/python-mechanize/mechanize/commit/dd05334448e9f39814bab044d2eaa5ef69b410d6 https://github.com/python-mechanize/mechanize/releases/tag/v0.4.6 https://lists.debian.org/debian-lts-announce/2023/06/msg00022.html https://lists.debian.org/debian-lts-announce/2025/12/msg00028.html https://securitylab.github.com/advisories/GHSL-2021-108-python-mechanize-mechanize/