Stacklok Minder 容易受到恶意制作模板的拒绝服务攻击 (CVE-2024-35194)

admin
admin
admin
0
文章
0
评论
2024-05-21 23:41:23 Ali_nvd 来源:ZONE.CI 全球网 0 阅读模式
Stacklok Minder 容易受到恶意制作模板的拒绝服务攻击 (CVE-2024-35194)

CVE编号

CVE-2024-35194

利用情况

暂无

补丁情况

N/A

披露时间

2024-05-21
漏洞描述
Minder is a software supply chain security platform. Prior to version 0.0.50, Minder engine is susceptible to a denial of service from memory exhaustion that can be triggered from maliciously created templates. Minder engine uses templating to generate strings for various use cases such as URLs, messages for pull requests, descriptions for advisories. In some cases can the user control both the template and the params for it, and in a subset of these cases, Minder reads the generated template entirely into memory. When Minders templating meets both of these conditions, an attacker is able to generate large enough templates that Minder will exhaust memory and crash. This vulnerability is fixed in 0.0.50.
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/stacklok/minder/commit/fe321d345b4f738de6a06b13207addc72b59f892
https://github.com/stacklok/minder/security/advisories/GHSA-crgc-2583-rw27
CVSS3评分 5.3
  • 攻击路径 网络
  • 攻击复杂度 高
  • 权限要求 低
  • 影响范围 未更改
  • 用户交互 无
  • 可用性 高
  • 保密性 无
  • 完整性 无
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H
CWE-ID 漏洞类型
- avd.aliyun.com
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
N/A Ali_nvd

N/A

N/ACVE编号 CVE-2024-4985利用情况 暂无补丁情况 N/A披露时间 2024-05-21漏洞描述An authentication bypa
05-210 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0