CVE-2023-3040
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 49 — wyżej niż 49% wszystkich znanych CVE
Streszczenie
Funkcja debugowania w pakiecie lua-resty-json, do commit id 3ef9492bd3a44d9e51301d6adc3cd1789c8f534a, zawierała błąd dostępu poza zakresem, który mógł umożliwić atakującemu przeprowadzenie ataku DoS przy parsowaniu nieufnych danych wejściowych. Należy zauważyć, że ta funkcja debugowania była używana tylko w testach i demonstracjach.
Ocena ryzyka
Ryzyko dla organizacji jest ograniczone, ponieważ funkcja ta nie była wykorzystywana w normalnym środowisku produkcyjnym. Jednakże, w przypadku jej użycia w nieodpowiednich warunkach, mogłoby to prowadzić do zakłóceń w działaniu systemu.
Rekomendacja
Zaleca się usunięcie lub zablokowanie dostępu do tej funkcji debugowania w środowisku produkcyjnym oraz monitorowanie użycia pakietu lua-resty-json w celu zapewnienia bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
A debug function in the lua-resty-json package, up to commit id 3ef9492bd3a44d9e51301d6adc3cd1789c8f534a (merged in PR #14) contained an out of bounds access bug that could have allowed an attacker to launch a DoS if the function was used to parse untrusted input data. It is important to note that because this debug function was only used in tests and demos, it was not exploitable in a normal environment.

