CVE-2022-26650
Apache ShenYu (incubating) Regular expression denial of service
En resumen
El validador de expresiones regulares de Apache ShenYu aceita patrones controlados por usuarios sin protección, permitiendo que atacantes envíen expresiones regulares maliciosas que consumen recursos excesivos de CPU.
Detalle técnico
RegexPredicateJudge.java pasa parámetros controlados por usuarios directamente a Pattern.matches() sin validación ni límites de tiempo, habilitando ataques ReDoS (Denegación de Servicio por Expresión Regular). Patrones con backtracking exponencial causan agotamiento de recursos e indisponibilidad de la aplicación.
Resumen generado y traducido por IA a partir de la descripción oficial.
In Apache ShenYui, ShenYu-Bootstrap, RegexPredicateJudge.java uses Pattern.matches(conditionData.getParamValue(), realData) to make judgments, where both parameters are controllable by the user. This can cause an attacker pass in malicious regular expressions and characters causing a resource exhaustion. This issue affects Apache ShenYu (incubating) 2.4.0, 2.4.1 and 2.4.2 and is fixed in 2.4.3.
Productos afectados
Apache Software Foundation · Apache ShenYu (incubating)¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →