CVE-2022-37603
CVE-2022-37603
En resumen
Una falla en loader-utils de webpack permite que atacantes cuelguen el proceso de compilación enviando cadenas especialmente diseñadas que hacen que el motor de expresiones regulares se bloquee. Esto puede interrumpir flujos de desarrollo e canalizaciones de integración continua.
Detalle técnico
Existe una vulnerabilidad ReDoS en la función interpolateName de loader-utils 2.0.0, donde el parámetro url se procesa mediante un patrón de expresión regular vulnerable. Un atacante puede proporcionar una cadena URL malformada para desencadenar backtracking exponencial en el motor regex, causando negación de servicio durante compilaciones de webpack sin requerir autenticación ni privilegios especiales.
Resumen generado y traducido por IA a partir de la descripción oficial.
A Regular expression denial of service (ReDoS) flaw was found in Function interpolateName in interpolateName.js in webpack loader-utils 2.0.0 via the url variable in interpolateName.js.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
n/a · n/a¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://github.com/webpack/loader-utils/blob/d9f4e23cf411d8556f8bac2d3bf05a6e0103b568/lib/interpolateName.js#L107https://github.com/webpack/loader-utils/blob/d9f4e23cf411d8556f8bac2d3bf05a6e0103b568/lib/interpolateName.js#L38https://github.com/webpack/loader-utils/issues/213https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ERN6YE3DS7NBW7UH44SCJBMNC2NWQ7SM/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KAC5KQ2SEWAMQ6UZAUBZ5KXKEOESH375/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VNV2GNZXOTEDAJRFH3ZYWRUBGIVL7BSU/