Informazioni sul CVE-2024-34075
kurwov vulnerable to Denial of Service due to improper data sanitization
CWE ID: CWE-502
Base Score (CVSS): N/A
CVE: CVE-2024-34075
Descrizione: kurwov è una libreria veloce e indipendente per creare modelli di Markov. Una sanificazione non sicura dei contenuti del dataset utilizzata nel metodo `MarkovData#getNext` in `Markov#generate` e `Markov#choose` permette a una stringa malevola di essere lanciata e interrompere il funzionamento della funzione correttamente. Se una stringa contiene un sottostringa vietata (ad esempio, `__proto__`), seguita da uno spazio, il codice accederà a una proprietà speciale in `MarkovData#finalData` rimuovendo l’ultimo carattere della stringa, bypassando la sanificazione del dataset (come dovrebbe essere già sanificata prima di essere chiamata). Qualsiasi dataset può essere contaminato con la sottostringa, rendendo impossibile generare qualcosa in alcuni casi. Questo problema è stato risolto in versione 3.2.5 e gli utenti sono incoraggiati ad aggiornare. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: None, Interazione utente: None, Confidenzialità: None, Integrità: None, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | N | None | Nessun impatto sulla riservatezza. |
| Integrity Impact (I) | N | None | Nessun impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://github.com/xiboon/kurwov/security/advisories/GHSA-hfrv-h3q8-9jpr
- https://github.com/xiboon/kurwov/commit/85d63e652594f121d6656177d7a3c0d823c976c9
- https://github.com/xiboon/kurwov/blob/0d58dfa42135ab40e830e92622857282f980ca89/src/MarkovData.ts#L38-L44
Prodotti interessati
- xiboon – kurwov
Relazioni con altri prodotti
Produttore:xiboon
Prodotto: kurwov
Anno: 2024
CWE: CWE-502
CVSS: 0.0