CVE-2022-25883
CVE-2022-25883
Em resumo
O pacote semver anterior à versão 7.5.2 possui uma falha que permite causar travamento ou falha ao processar strings malformadas de intervalo de versão. Um atacante pode explorar isso enviando entradas especialmente elaboradas para causar negação de serviço.
Detalhe técnico
Uma vulnerabilidade de ReDoS existe no construtor Range do semver <7.5.2, explorável através de strings de intervalo não confiáveis que provocam retrocesso excessivo na avaliação de expressões regulares. A vulnerabilidade requer que o código da aplicação processe parâmetros de intervalo controlados por atacante, resultando em esgotamento de CPU e indisponibilidade do serviço.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Versions of the package semver before 7.5.2 are vulnerable to Regular Expression Denial of Service (ReDoS) via the function new Range, when untrusted user data is provided as a range.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L/E:P
Produtos afetados
n/a · semverQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/npm/node-semver/blob/main/classes/range.js%23L97-L104https://github.com/npm/node-semver/blob/main/internal/re.js%23L138https://github.com/npm/node-semver/blob/main/internal/re.js%23L160https://github.com/npm/node-semver/commit/717534ee353682f3bcf33e60a8af4292626d4441https://github.com/npm/node-semver/pull/564https://security.netapp.com/advisory/ntap-20241025-0004/https://security.snyk.io/vuln/SNYK-JS-SEMVER-3247795