← voltar
CVE-2023-28755

CVE-2023-28755

CVSS 5.3 MEDIUMEPSS 2.6%CWE-1333
Em resumo

O analisador de URLs do Ruby fica extremamente lento ao processar certos URLs malformados, podendo causar negação de serviço. Um atacante pode enviar URLs especialmente construídas para congelar ou esgotar os recursos de uma aplicação web.

Detalhe técnico

Uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) existe no componente URI do Ruby (versões até 0.12.0), onde URLs inválidas com padrões específicos de caracteres disparam backtracking catastrófico no analisador. O vetor de ataque é baseado em rede; o atacante fornece URLs malformados para disparar tempo de processamento exponencial. O impacto inclui esgotamento de CPU e indisponibilidade da aplicação.

Resumo gerado e traduzido por IA a partir da descrição oficial.
A ReDoS issue was discovered in the URI component through 0.12.0 in Ruby through 3.2.1. The URI parser mishandles invalid URLs that have specific characters. It causes an increase in execution time for parsing strings to URI objects. The fixed versions are 0.12.1, 0.11.1, 0.10.2 and 0.10.0.1.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Produtos afetados
n/a · n/a

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/ruby/uri/releases/https://lists.debian.org/debian-lts-announce/2023/04/msg00033.htmlhttps://lists.debian.org/debian-lts-announce/2024/09/msg00000.htmlhttps://lists.debian.org/debian-lts-announce/2025/05/msg00015.htmlhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/27LUWREIFTP3MQAW7QE4PJM4DPAQJWXF/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FFZANOQA4RYX7XCB42OO3P24DQKWHEKA/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/G76GZG3RAGYF4P75YY7J7TGYAU7Z5E2T/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QA6XUKUY7B5OLNQBLHOT43UW7C5NIOQQ/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WMIOPLBAAM3FEQNAXA2L7BDKOGSVUT5Z/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/27LUWREIFTP3MQAW7QE4PJM4DPAQJWXF/https://security.gentoo.org/glsa/202401-27https://security.netapp.com/advisory/ntap-20230526-0003/