← volver
CVE-2023-30082

CVE-2023-30082

CVSS 7.5 HIGHEPSS 1.0%CWE-1284
En resumen

La aplicación osTicket se bloquea cuando alguien envía una contraseña extremadamente larga (más de 10 millones de caracteres), causando que el sitio web deje de funcionar. El servidor agota toda su capacidad de procesamiento intentando procesar esta entrada anormalmente grande.

Detalle técnico

Existe una vulnerabilidad de denegación de servicio en osTicket donde el envío de una contraseña superior a 10.000.000 caracteres causa consumo excesivo de CPU y memoria, resultando en la indisponibilidad del servicio. El vector de ataque no requiere autenticación y solo necesita envío de una contraseña maliciosa durante inicio de sesión o registro, sin precondiciones especiales más allá del acceso a la red de la aplicación.

Resumen generado y traducido por IA a partir de la descripción oficial.
A denial of service attack might be launched against the server if an unusually lengthy password (more than 10000000 characters) is supplied using the osTicket application. This can cause the website to go down or stop responding. When a long password is entered, this procedure will consume all available CPU and memory.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://blog.manavparekh.com/2023/06/cve-2023-30082.htmlhttps://github.com/manavparekh/CVEs/blob/main/CVE-2023-30082/Steps%20to%20reproduce.txt