CVE-2021-22902

Опубликовано: 05 мая 2021

Источник: redhat

CVSS3: 7.5

EPSS Низкий

Описание

The actionpack ruby gem (a framework for handling and responding to web requests in Rails) before 6.0.3.7, 6.1.3.2 suffers from a possible denial of service vulnerability in the Mime type parser of Action Dispatch. Carefully crafted Accept headers can cause the mime type parser in Action Dispatch to do catastrophic backtracking in the regular expression engine.

A flaw was found in RubyGem Actionpack which is framework for handling and responding to web requests in Rails. A possible Denial of Service vulnerability was found in the Mime type parser of Action Dispatch.

Затронутые пакеты

Платформа	Пакет	Состояние	Рекомендация	Релиз
CloudForms Management Engine 5	cfme-gemset	Not affected
Red Hat Satellite 6	tfm-ror52-rubygem-actionpack	Not affected
Red Hat Satellite 6.10 for RHEL 7	tfm-rubygem-rails	Fixed	RHSA-2021:4702	16.11.2021

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Moderate

Дефект:

CWE-400

https://bugzilla.redhat.com/show_bug.cgi?id=1961382rails: Possible Denial of Service vulnerability in Action Dispatch

EPSS

Процентиль: 79%

0.01304

Низкий

7.5 High

CVSS3

Связанные уязвимости

CVE-2021-22902

CVSS3: 7.5

ubuntu

больше 4 лет назад

CVE-2021-22902

CVSS3: 7.5

nvd

больше 4 лет назад

CVE-2021-22902

CVSS3: 7.5

debian

больше 4 лет назад

The actionpack ruby gem (a framework for handling and responding to we ...

GHSA-g8ww-46x2-2p65

CVSS3: 7.5

github

почти 5 лет назад

Denial of Service in Action Dispatch

BDU:2021-04601

CVSS3: 7.5

fstec

почти 5 лет назад

Уязвимость обработчика регулярных выражений парсера Mime-типа функционала Action Dispatch фреймворка actionpack ruby gem программной платформы Ruby on Rails, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 79%

0.01304

Низкий

7.5 High

CVSS3