Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06514

Опубликовано: 14 дек. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость реализации конфигурации инструмента очистки HTML для приложений Rails Rails Html Sanitizer связана с о чрезмерным обратным отслеживанием при попытке очистки определенных атрибутов SVG. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

ООО «Ред Софт»
АО "НППКТ"
Rails Core Team

Наименование ПО

РЕД ОС
ОСОН ОСнова Оnyx
Rails Html Sanitizer

Версия ПО

7.3 (РЕД ОС)
до 2.9 (ОСОН ОСнова Оnyx)
до 1.4.4 (Rails Html Sanitizer)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.9

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для Rails Html Sanitizer:
https://github.com/rails/rails-html-sanitizer/security/advisories/GHSA-5x79-w82f-gw8w
https://github.com/rails/rails-html-sanitizer/commit/56c61c0cebd1e493e8ad7bca2a0191609a4a6979
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения ruby-rails-html-sanitizer до версии 1.0.4-1+deb10u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 43%
0.00204
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-23517

CVSS3: 7.5
ubuntu
больше 2 лет назад

rails-html-sanitizer is responsible for sanitizing HTML fragments in Rails applications. Certain configurations of rails-html-sanitizer < 1.4.4 use an inefficient regular expression that is susceptible to excessive backtracking when attempting to sanitize certain SVG attributes. This may lead to a denial of service through CPU resource consumption. This issue has been patched in version 1.4.4.

redhat логотип

CVE-2022-23517

CVSS3: 7.5
redhat
больше 2 лет назад

rails-html-sanitizer is responsible for sanitizing HTML fragments in Rails applications. Certain configurations of rails-html-sanitizer < 1.4.4 use an inefficient regular expression that is susceptible to excessive backtracking when attempting to sanitize certain SVG attributes. This may lead to a denial of service through CPU resource consumption. This issue has been patched in version 1.4.4.

nvd логотип

CVE-2022-23517

CVSS3: 7.5
nvd
больше 2 лет назад

rails-html-sanitizer is responsible for sanitizing HTML fragments in Rails applications. Certain configurations of rails-html-sanitizer < 1.4.4 use an inefficient regular expression that is susceptible to excessive backtracking when attempting to sanitize certain SVG attributes. This may lead to a denial of service through CPU resource consumption. This issue has been patched in version 1.4.4.

debian логотип

CVE-2022-23517

CVSS3: 7.5
debian
больше 2 лет назад

rails-html-sanitizer is responsible for sanitizing HTML fragments in R ...

github логотип

GHSA-5x79-w82f-gw8w

CVSS3: 7.5
github
больше 2 лет назад

Inefficient Regular Expression Complexity in rails-html-sanitizer

EPSS

Процентиль: 43%
0.00204
Низкий

7.5 High

CVSS3

7.8 High

CVSS2