В геме CGI до версии 0.4.2 для Ruby метод CGI::Cookie.parse в библиотеке CGI содержит потенциальную уязвимость типа «отказ в обслуживании» (DoS). Этот метод не накладывает никаких ограничений на длину обрабатываемого им необработанного значения cookie. Эта оплошность может привести к чрезмерному потреблению ресурсов при анализе очень больших файлов cookie.
Показать оригинальное описание (EN)
In the CGI gem before 0.4.2 for Ruby, the CGI::Cookie.parse method in the CGI library contains a potential Denial of Service (DoS) vulnerability. The method does not impose any limit on the length of the raw cookie value it processes. This oversight can lead to excessive resource consumption when parsing extremely large cookies.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 3
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Ruby-Lang Cgi
cpe:2.3:a:ruby-lang:cgi:*:*:*:*:*:ruby:*:*
|
— |
0.3.5.1
|
|
Ruby-Lang Cgi
cpe:2.3:a:ruby-lang:cgi:*:*:*:*:*:ruby:*:*
|
0.4.0
|
0.4.2
|
|
Ruby-Lang Cgi
cpe:2.3:a:ruby-lang:cgi:0.3.6:*:*:*:*:ruby:*:*
|
— | — |