Уязвимость вызова горячего цикла в чате из-за специально созданного сообщения с определённой последовательностью символов
Описание
Выявлена уязвимость, при которой специально созданное сообщение, содержащее определённую цепочку символов, может вызвать вход чата в горячий цикл (hot loop) в одном из процессов. Это приводит к потреблению примерно 120% CPU и делает сервис неработоспособным.
Тип уязвимости
DoS атака (отказ в обслуживании)
Ссылки
- Third Party Advisory
- Third Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 6.0.0 (исключая)
cpe:2.3:a:rocket.chat:rocket.chat:*:*:*:*:*:*:*:*
EPSS
Процентиль: 50%
0.00267
Низкий
7.5 High
CVSS3
Дефекты
CWE-400
CWE-400
CWE-770
Связанные уязвимости
CVSS3: 7.5
github
больше 2 лет назад
A vulnerability has been identified where a maliciously crafted message containing a specific chain of characters can cause the chat to enter a hot loop on one of the processes, consuming ~120% CPU and rendering the service unresponsive.
EPSS
Процентиль: 50%
0.00267
Низкий
7.5 High
CVSS3
Дефекты
CWE-400
CWE-400
CWE-770