dotnet · DotVVMCrítico
DotVVM: Mitigação de ReDoS com timeout em regex de rota
DotVVM versões 4.3.15, 4.2.11 e 5.0.0-preview09 aplicam um timeout de 1 segundo em operações regex de rota para mitigar vulnerabilidade ReDoS. Quando o timeout
O que mudou
DotVVM versões 4.3.15, 4.2.11 e 5.0.0-preview09 aplicam um timeout de 1 segundo em operações regex de rota para mitigar vulnerabilidade ReDoS. Quando o timeout é atingido, DotVVM alterna para engine regex não-backtracking ou retorna HTTP 503.
Quem isso afeta
Usuários de DotVVM que usam múltiplos parâmetros de rota sem restrições não separados por '/'.
O que fazer hoje
Atualize para DotVVM 4.3.15, 4.2.11 ou 5.0.0-preview09 e evite múltiplos parâmetros de rota sem restrições em uma seção não separados por '/'.
A esteira
Coletado→
Auditado→
Redigido→
Publicado