CVE-2022-25883
CVE-2022-25883
En resumen
El paquete semver anterior a la versión 7.5.2 tiene una falla que permite causar bloqueo o fallo al procesar cadenas malformadas de rango de versión. Un atacante puede aprovechar esto enviando entradas especialmente elaboradas para provocar una denegación de servicio.
Detalle técnico
Existe una vulnerabilidad ReDoS en el constructor Range de semver <7.5.2, explotable mediante cadenas de rango no confiables que provocan retroceso excesivo en la evaluación de expresiones regulares. La vulnerabilidad requiere que el código de la aplicación procese parámetros de rango controlados por el atacante, lo que resulta en agotamiento de CPU e indisponibilidad del servicio.
Resumen generado y traducido por IA a partir de la descripción oficial.
Versions of the package semver before 7.5.2 are vulnerable to Regular Expression Denial of Service (ReDoS) via the function new Range, when untrusted user data is provided as a range.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:P
Productos afectados
n/a · semver¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/npm/node-semver/blob/main/classes/range.js%23L97-L104https://github.com/npm/node-semver/blob/main/internal/re.js%23L138https://github.com/npm/node-semver/blob/main/internal/re.js%23L160https://github.com/npm/node-semver/commit/717534ee353682f3bcf33e60a8af4292626d4441https://github.com/npm/node-semver/pull/564https://security.netapp.com/advisory/ntap-20241025-0004/https://security.snyk.io/vuln/SNYK-JS-SEMVER-3247795