製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

jinja2 におけるリソースの枯渇に関する脆弱性

タイトル	jinja2 におけるリソースの枯渇に関する脆弱性
概要	jinja2 には、リソースの枯渇に関する脆弱性が存在します。
想定される影響	サービス運用妨害 (DoS) 状態にされる可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2020年9月25日0:00
登録日	2021年10月12日13:51
最終更新日	2021年10月12日13:51

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS2.0 : 警告
スコア	5
ベクター	AV:N/AC:L/Au:N/C:N/I:N/A:P

影響を受けるシステム

Fedora Project

Fedora

Pallets project

Jinja 0.0.0 以上 2.11.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-28493	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28493
National Vulnerability Database (NVD)
2	CVE-2020-28493	https://nvd.nist.gov/vuln/detail/CVE-2020-28493

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	名前	URL
Fedora Update Notification
1	FEDORA-2021-2ab8ebcabc	https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PVAKCOO7VBVUBM3Q6CBBTPBFNP5NDXF4/
GitHub
2	backport urlize speedup #1343	https://github.com/pallets/jinja/pull/1343

その他

No	名前	URL
関連文書
1	SNYK-PYTHON-JINJA2-1012994 (Regular Expression Denial of Service (ReDoS)Affecting jinja2 package, versions [,2.11.3))	https://snyk.io/vuln/SNYK-PYTHON-JINJA2-1012994

変更履歴

No	変更内容	変更日
1	[2021年10月12日] 掲載	2021年10月12日13:51

NVD脆弱性情報

CVE-2020-28493

概要	This affects the package jinja2 from 0.0.0 and before 2.11.3. The ReDoS vulnerability is mainly due to the `_punctuation_re regex` operator and its use of multiple wildcards. The last wildcard is the most exploitable as it searches for trailing punctuation. This issue can be mitigated by Markdown to format user content instead of the urlize filter, or by implementing request timeouts and limiting process memory.
公表日	2021年2月2日5:15
登録日	2021年2月2日10:01
最終更新日	2024年11月21日14:22

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:palletsprojects:jinja::::::::					2.11.3

構成2		以上	以下	より上	未満
cpe:2.3:o:fedoraproject:fedora:33:::::::*

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/pallets/jinja/blob/ab81fd9c277900c85da0c322a2ff9d68a235b2e6/src/jinja2/utils.py%23L20		Broken Link
2	https://github.com/pallets/jinja/blob/ab81fd9c277900c85da0c322a2ff9d68a235b2e6/src/jinja2/utils.py%23L20		Broken Link
3	https://github.com/pallets/jinja/pull/1343		Patch Third Party Advisory
4	https://github.com/pallets/jinja/pull/1343		Patch Third Party Advisory
5	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PVAKCOO7VBVUBM3Q6CBBTPBFNP5NDXF4/
6	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/PVAKCOO7VBVUBM3Q6CBBTPBFNP5NDXF4/
7	https://security.gentoo.org/glsa/202107-19		Third Party Advisory
8	https://security.gentoo.org/glsa/202107-19		Third Party Advisory
9	https://snyk.io/vuln/SNYK-PYTHON-JINJA2-1012994		Exploit Third Party Advisory
10	https://snyk.io/vuln/SNYK-PYTHON-JINJA2-1012994		Exploit Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html