CVE

Vulnerabilidad en Torbot (CVE-2023-45813)

Severidad:
ALTA
Type:
No Disponible / Otro tipo
Fecha de publicación:
18/10/2023
Última modificación:
30/10/2023

Descripción

Torbot es una herramienta de inteligencia de red Tor de código abierto. En las versiones afectadas, la `función torbot.modules.validators.validate_link` utiliza la expresión regular de validación de URL de python-validators. Esta expresión regular en particular tiene una complejidad exponencial que permite a un atacante provocar el bloqueo de una aplicación utilizando un argumento manipulado bien elaborado. Un atacante puede utilizar un argumento de URL manipulado bien elaborado para explotar la vulnerabilidad en la expresión regular y provocar una Denegación de Servicio en el System. El archivo de validadores se eliminó en la versión 4.0.0. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.50
Severidad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:torbot_project:torbot:*:*:*:*:*:*:*:* 4.0.0 (excluyendo)
cpe:2.3:a:validators_project:validators:0.11.0:*:*:*:*:python:*:*
cpe:2.3:a:validators_project:validators:0.20.0:*:*:*:*:python:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información