CVE-2023-22467

ALT: (7,5)

CVSS3: 6,5

Moment.js Luxon és vulnerable a una denegació del servei causada per un error en l’expressió regular (ReDoS) a causa de l’ús de complexitat quadràtica (N^2) en la funció DateTime.fromRFC2822(). Mitjançant l’enviament d’una entrada especialment dissenyada, un atacant remot podria explotar aquesta vulnerabilitat per causar un alentiment en el processament de dades, i donar lloc a una condició de denegació del servei.

Sistemes Afectats

• Moment.js Luxon 1.28.0
• Moment.js Luxon 2.5.1
• Moment.js Luxon 3.2.0

Remediació
Actualitzeu a l’última versió de Luxon (1.28.1, 2.5.2, 3.2.1 o posterior), disponible al repositori GIT de Luxon.

Referències

• https://github.com/moment/luxon/security/advisories/GHSA-3xq5-wjfh-ppjc
• https://www.mend.io/vulnerability-database/CVE-2023-22467
• http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-22467