CVE-2022-2049

MITJÀ: (5.3)

CVSS3: 4.6

Octopus Deploy és vulnerable a una denegació de servei, causada per un defecte de denegació de servei d’expressió regular (ReDoS) en els arxius de càrrega de paquets. Mitjançant l’enviament d’una entrada regex especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per a causar una denegació de servei.

Sistemes Afectats

• Octopus Deploy Octopus Deploy 0
• Octopus Deploy Octopus Deploy 1
• Octopus Deploy Octopus Deploy 2
• Octopus Deploy Octopus Deploy 3
• Octopus Deploy Octopus Deploy 4
• Octopus Deploy Octopus Deploy 2018
• Octopus Deploy Octopus Deploy 2019
• Octopus Deploy Octopus Deploy 2020
• Octopus Deploy Octopus Deploy 2021
• Octopus Deploy Octopus Deploy 2022.1
• Octopus Deploy Octopus Deploy 2022.2
• Octopus Deploy Octopus Deploy 2022.3

Remediació
Consulti l’avís de seguretat 2022-10 d’Octopus per a obtenir informació sobre actualitzacions o solucions suggerides.

Referències

• https://advisories.octopus.com/post/2022/sa2022-10/
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2049