CVE-2022-26650
Apache ShenYu (incubating) Regular expression denial of service
Em resumo
O validador de expressões regulares do Apache ShenYu aceita padrões fornecidos pelo usuário sem proteção, permitindo que atacantes enviem expressões regulares maliciosas que consomem recursos excessivos da CPU.
Detalhe técnico
O arquivo RegexPredicateJudge.java passa parâmetros controlados pelo usuário diretamente para Pattern.matches() sem validação ou limites de tempo, habilitando ataques ReDoS (Denial of Service por Expressão Regular). Padrões com backtracking exponencial causam esgotamento de recursos e indisponibilidade.
Resumo gerado e traduzido por IA a partir da descrição oficial.
In Apache ShenYui, ShenYu-Bootstrap, RegexPredicateJudge.java uses Pattern.matches(conditionData.getParamValue(), realData) to make judgments, where both parameters are controllable by the user. This can cause an attacker pass in malicious regular expressions and characters causing a resource exhaustion. This issue affects Apache ShenYu (incubating) 2.4.0, 2.4.1 and 2.4.2 and is fixed in 2.4.3.
Produtos afetados
Apache Software Foundation · Apache ShenYu (incubating)Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →