CVE-2023-28755

CVSS 5.3 MEDIUMEPSS 2.6%CWE-1333

En resumen

El analizador de URLs de Ruby se vuelve extremadamente lento al procesar ciertos URLs malformados, causando potencialmente una denegación de servicio. Un atacante puede enviar URLs especialmente construidas para congelar o agotar los recursos de una aplicación web.

Detalle técnico

Una vulnerabilidad de Denegación de Servicio por Expresión Regular (ReDoS) existe en el componente URI de Ruby (versiones hasta 0.12.0) donde URLs inválidas con patrones de caracteres específicos desencadenan un retroceso catastrófico en el analizador. El vector de ataque es basado en red; el atacante suministra URLs malformados para disparar tiempo de procesamiento exponencial. El impacto incluye agotamiento de CPU e indisponibilidad de la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.

A ReDoS issue was discovered in the URI component through 0.12.0 in Ruby through 3.2.1. The URI parser mishandles invalid URLs that have specific characters. It causes an increase in execution time for parsing strings to URI objects. The fixed versions are 0.12.1, 0.11.1, 0.10.2 and 0.10.0.1.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias