Ejabberd DoS via malformed stanza · CVE-2011-4320
平台
- AI CODE CREATION
- GitHub Copilot:利用AI编写更好的代码
- GitHub Spark:构建和部署智能应用
- GitHub Models:管理和比较提示词
- MCP Registry (New):集成外部工具
开发工作流
-
Actions:自动化任何工作流
-
Codespaces:即时开发环境
-
Code Review:管理代码变更
应用安全
- GitHub Advanced Security:查找并修复漏洞
- Code security:在构建时保护代码
- Secret protection:在泄露前阻止
探索
- 为何选择 GitHub
- 文档
- 博客
- 更新日志
- 市场
- 查看所有功能
解决方案
- 按公司规模
- 企业
- 中小型团队
- 初创公司
- 非营利组织
- 按使用场景
- 应用现代化
- DevSecOps
- DevOps
- CI/CD
- 按行业
- 医疗保健
- 金融服务
- 制造业
- 政府
资源
- 按主题探索
- AI
- 软件开发
- DevOps
- 安全
- 按类型探索
- 客户案例
- 活动与网络研讨会
- 电子书与报告
- 商业洞察
- GitHub Skills
支持与服务
- 文档
- 客户支持
- 社区论坛
- 信任中心
- 合作伙伴
- 开源
社区
- GitHub Sponsors:资助开源开发者
项目
- Security Lab
- Maintainer Community
- Accelerator
- Archive Program
仓库
- Topics
- Trending
- Collections
- Enterprise
企业解决方案
- Enterprise platform
- AI-powered developer platform
可用附加组件
- GitHub Advanced Security:企业级安全功能
- Copilot for Business:企业级AI功能
- Premium Support:企业级24/7支持
定价
CVE-2011-4320
Ejabberd DoS via malformed stanza
中等严重性
GitHub 已审核
发布信息
- 发布于 GitHub Advisory Database:2022年5月17日
- 更新于:2024年1月19日
受影响的软件包
- erlang
- ejabberd (Erlang)
受影响版本
- <= 2.1.8
-
= 3.0.0-alpha-1, <= 3.0.0-alpha-3
已修复版本
- 2.1.9
- 3.0.0-alpha-4
漏洞描述
ejabberd 2.1.8 和 3.0.0-alpha-3 版本中的 mod_pubsub 模块 (mod_pubsub.erl) 允许远程认证用户通过发送一个缺少 node 属性的 publish 标签的 stanza,导致拒绝服务(无限循环)。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2011-4320
- https://support.process-one.net/browse/EJAB-1498
- http://www.openwall.com/lists/oss-security/2011/11/19/1
- http://www.openwall.com/lists/oss-security/2011/11/19/2
- http://www.process-one.net/en/ejabberd/release_notes/release_note_ejabberd_2.1.9
- processone/ejabberd@d3c4eab
- processone/ejabberd@d5b4d67
发布时间线
- 由国家漏洞数据库发布:2012年2月18日
- 发布到 GitHub Advisory Database:2022年5月17日
- 审核时间:2024年1月19日
- 最后更新:2024年1月19日
严重性
- 中等
EPSS 分数
- 1.178% (第78百分位)
- 漏洞利用预测评分系统 (EPSS):此分数估计了该漏洞在未来30天内被利用的概率。数据由 FIRST 提供。
弱点
- 弱点:CWE-400
- 不受控制的资源消耗:产品未能正确控制有限资源的分配和维护,从而使攻击者能够影响资源消耗量,最终导致可用资源耗尽。在 MITRE 上了解更多信息。
标识符
- CVE ID: CVE-2011-4320
- GHSA ID: GHSA-2h3q-v47h-f4rc
源代码
- processone/ejabberd
备注
- 此咨询的某些或所有生态系统不支持 Dependabot 警报。了解更多关于 GitHub 语言支持的信息。
- 此咨询已编辑。请查看历史记录。
- 有什么可以贡献的吗?为此漏洞提出改进建议。