Gravedad: Crítica
Fecha de publicación: agosto 04, 2022
Fecha de modificación: agosto 04, 2022
Última revisión: Revisión A.
Fuente: www.cve.org
Sistemas Afectados
- Apache Tapestry 5.8.1 y previos
I. Descripción
Apache Tapestry versión 5.8.1 y previos, presentan vulnerabilidad CVE-2022-31781 a la denegación de servicios de presiones regulares (ReDoS) en la forma de manejo de los tipos de contenido. Donde estos tipos de contenidos especialmente diseñados pueden causar retrocesos de tiempo exponencial para completarse. Estos contenidos especiales son corregidos en la clase org.apache.tapestry5.http.ContentType.Apache Tapestry 5.8.2
Se les exhorta a revisar los enlaces en la sección III de referencias. Y aplicar las acciones necesarias para la actualización y mitigación de la vulnerabilidad.
II. Impacto
Complejidad de Acceso: Critica.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total del sistema.
III. Referencia a soluciones, herramientas e información
- https://tapestry.apache.org/security.html
- https://nvd.nist.gov/vuln/detail/CVE-2022-31781
- https://github.com/advisories/GHSA-227g-7cvv-6ff3
- https://security.snyk.io/vuln/SNYK-JAVA-ORGAPACHETAPESTRY-2949136
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa