Ejabberd DoS via malformed stanza · CVE-2011-4320
摘要
严重性等级:中等
- GitHub 已审核
- 发布于 2022年5月17日 至 GitHub Advisory Database
- 更新于 2024年1月19日
受影响组件
软件包
- erlang
- ejabberd (Erlang)
受影响版本
- <= 2.1.8
-
= 3.0.0-alpha-1, <= 3.0.0-alpha-3
已修复版本
- 2.1.9
- 3.0.0-alpha-4
漏洞描述
Ejabberd 2.1.8 和 3.0.0-alpha-3 版本中的 mod_pubsub 模块(mod_pubsub.erl)存在安全漏洞。远程认证用户可以通过发送一个包含 publish 标签但缺少 node 属性的畸形节(stanza),触发无限循环,从而导致拒绝服务(Denial of Service)。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2011-4320
- https://support.process-one.net/browse/EJAB-1498
- http://www.openwall.com/lists/oss-security/2011/11/19/1
- http://www.openwall.com/lists/oss-security/2011/11/19/2
- http://www.process-one.net/en/ejabberd/release_notes/release_note_ejabberd_2.1.9
- processone/ejabberd@d3c4eab
- processone/ejabberd@d5b4d67
发布时间线
- 由国家漏洞数据库(NVD)发布:2012年2月18日
- 发布至 GitHub Advisory Database:2022年5月17日
- 审核时间:2024年1月19日
- 最后更新时间:2024年1月19日
严重性与评估
严重性:中等
EPSS 分数:1.178% (第78百分位)
此分数估计了该漏洞在未来30天内被利用的概率。数据由 FIRST 提供。
弱点分类
弱点标识:CWE-400 弱点名称:不受控制的资源消耗
该产品未能正确控制有限资源的分配和维护。更多信息请参考 MITRE。
标识符
- CVE ID: CVE-2011-4320
- GHSA ID: GHSA-2h3q-v47h-f4rc
源代码
- 项目仓库:processone/ejabberd
注意:某些或所有此公告涉及的生态系统不支持 Dependabot 警报。请参阅 GitHub 语言支持了解更多信息。 此公告已被编辑,查看历史记录。