Colin Ife

**Nome do software vulnerável e versões afetadas** color-string versões 1.5.5 e anteriores **Descrição** O problema está relacionado a uma vulnerabilidade de negação de serviço por expressão regular (ReDOS) na biblioteca color-string, que pode causar consumo excessivo de recursos ao processar cadeias HWB inválidas criadas propositalmente. Isso pode levar a uma negação de serviço. A vulnerabilidade ocorre devido à complexidade temporal exponencial para comprimentos de entrada que aumentam linearmente para strings de cor `hwb()`, especificamente na expressão regular que analisa o valor de matiz. O tempo de processamento estimado aumenta significativamente com o comprimento da string de entrada, sendo que strings com mais de 50.000 caracteres levam cerca de 1,5 segundos para serem processadas. **Recomendações** Para a versão 1.5.5 e anteriores da string de cor, considere desativar a função `hwb()` até que um patch esteja disponível para evitar possíveis ataques de negação de serviço. Restrinja os comprimentos de entrada para strings de cor `hwb()` para minimizar o risco de exploração. Evite usar a função `hwb()` com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.