中危 flask-restx_project flask-restx 未加控制的资源消耗（资源穷尽）

CVE编号

CVE-2021-32838

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-09-21

漏洞描述

Flask-RESTX (pypi package flask-restx) is a community driven fork of Flask-RESTPlus. Flask-RESTX before version 0.5.1 is vulnerable to ReDoS (Regular Expression Denial of Service) in email_regex. This is fixed in version 0.5.1.

解决建议

下载相关补丁

参考链接
https://github.com/advisories/GHSA-3q6g-vf58-7m4g
https://github.com/python-restx/flask-restx/blob/fd99fe11a88531f5f3441a278f70...
https://github.com/python-restx/flask-restx/commit/bab31e085f355dd73858fd3715...
https://github.com/python-restx/flask-restx/issues/372
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedora...
https://pypi.org/project/flask-restx/

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	flask-restx_project	flask-restx	*		Up to (excluding) 0.5.1
	运行在以下环境
	系统	fedora_33	python-flask-restx	*		Up to (excluding) 0.2.0-4.fc33
	运行在以下环境
	系统	fedora_34	python-flask-restx	*		Up to (excluding) 0.3.0-2.fc34

阿里云评分 4.3

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 无需权限
• 影响范围 有限影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 服务器失陷
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）

Exp相关链接

- avd.aliyun.com