Vikunja — это автономная платформа управления задачами с открытым исходным кодом. До версии 2.3.0 функция addRepeatIntervalToTime использовала цикл O(n), который перемещал дату вперед на длительность Повтореафтер задачи до тех пор, пока она не превысит текущее время. Создавая повторяющуюся задачу с интервалом в 1 секунду и датой выполнения в далеком прошлом, злоумышленник запускает миллиарды итераций цикла, потребляя ресурсы ЦП и удерживая соединение с базой данных в течение нескольких минут для каждого запроса.
Эта уязвимость исправлена в версии 2.3.0.
Показать оригинальное описание (EN)
Vikunja is an open-source self-hosted task management platform. Prior to 2.3.0, the addRepeatIntervalToTime function uses an O(n) loop that advances a date by the task's RepeatAfter duration until it exceeds the current time. By creating a repeating task with a 1-second interval and a due date far in the past, an attacker triggers billions of loop iterations, consuming CPU and holding a database connection for minutes per request. This vulnerability is fixed in 2.3.0.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Vikunja Vikunja
cpe:2.3:a:vikunja:vikunja:*:*:*:*:*:*:*:*
|
— |
2.3.0
|