Sisimai до 4.25.14p11 lib/sisimai/string.rb to_plain отказ в обслуживании
Уязвимость была найдена в Sisimai до 4.25.14p11 и классифицирована как проблемные. Затронута функция to_plain
файла lib/sisimai/string.rb. Использование CWE для объявления проблемы приводит к тому, что CWE-1333. Консультация доступна для скачивания по адресу github.com.
Эта уязвимость была названа CVE-2022-4891. Атака должна быть проведена в пределах локальной сети. Имеются технические подробности. Более того, существует эксплойт. Эксплойт был раскрыт общественности и может быть использован. Текущая цена за эксплойт может составлять около USD $0-$5k в настоящее время. Проект MITRE ATT&CK объявляет технику атаки как T1449.003.
Объявляется proof-of-concept. Эксплойт можно загрузить по адресу gist.githubusercontent.com. В 0-дневный период предполагаемая подземная цена составляла около $0-$5k.
Обновление до версии 4.25.14p12 способно решить эту проблему. Обновленную версию можно скачать по адресу github.com. Название патча следующее 51fe2e6521c9c02b421b383943dc9e4bbbe65d4e. Исправление готово для загрузки по адресу github.com. Рекомендуется обновить затронутый компонент.