Rongchen Li

**Nome do Software Vulnerável e Versões Afetadas** pacote versões 11.2.7 e posteriores **Description** Um Denial of Service de Expressão Regular (ReDoS) existe na função `addGitSha()`. Um invasor pode causar consumo excessivo de CPU, potencialmente travando ou interrompendo o processo, ao fornecer um valor `spec.rawSpec` especialmente elaborado. Isso ocorre quando a lógica de substituição de regex e manipulação de string da função é acionada, sobrecarregando um núcleo da CPU. O problema é acessível por usuários não autenticados onde quer que a biblioteca consuma especificações de pacotes controladas pelo usuário. **Recommendations** Como mitigação temporária, valide as especificações de pacotes antes de passá-las para a biblioteca. No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do @eslint/plugin-kit anteriores à 0.2.3 **Descrição** O problema está relacionado a um ataque de negação de serviço por expressão regular (ReDoS) devido à sanitização inadequada de entradas. Um invasor pode aumentar o uso da CPU e travar o programa explorando essa vulnerabilidade. A criação de uma string muito grande e bem elaborada também pode aumentar o uso da CPU e travar o programa. **Recomendações** Para versões anteriores à 0.2.3, atualize para a versão 0.2.3 ou posterior para resolver o problema. Como solução temporária, considere restringir o tamanho da entrada para impedir que strings grandes sejam processadas pela função ConfigCommentParser. Evite usar a função ConfigCommentParser com entradas não confiáveis até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** cross-spawn versions prior to 7.0.5 **Description** The issue is related to a Regular Expression Denial of Service (ReDoS) in the cross-spawn package. This occurs due to improper input sanitization, allowing an attacker to craft a large and well-crafted string that can increase CPU usage and crash the program. The exploitation of this issue can lead to a denial of service. **Recommendations** For versions prior to 7.0.5, update to version 7.0.5 or later to resolve the issue. As a temporary workaround, consider restricting input to prevent large and maliciously crafted strings from being processed.