Shiyubanzhou

Nome do Software Vulnerável e Versões Afetadas: @octokit/endpoint versões 4.1.0 até 10.1.3 Descrição: O problema consiste em um ataque de negação de serviço via expressão regular (ReDoS) que pode ser desencadeado ao criar parâmetros `options` específicos, fazendo o programa travar e resultando em alta utilização da CPU. Isso ocorre na função `parse` dentro do arquivo `parse.ts` do pacote npm `@octokit/endpoint`. A expressão regular `/[w-]+(?=-preview)/g` encontra um problema de retrocesso (backtracking) ao processar um grande número de caracteres seguidos pelo símbolo `-`. Recomendações: Para as versões 4.1.0 até 10.1.3, atualize a expressão regular para `(?<![w-])[w-]+(?=-preview)` para prevenir retrocesso excessivo. Substitua a expressão regular existente no arquivo `parse.ts` pela atualizada e teste a aplicação minuciosamente para garantir que a funcionalidade permaneça correta e o desempenho melhore. Uma vez verificada a solução, implante a correção no ambiente de produção para proteger contra potenciais ataques.

Nome do Software Vulnerável e Versões Afetadas: @octokit/plugin-paginate-rest versões 1.0.0 a 11.4.1 Descrição: O problema é uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) que pode ser acionada ao chamar `octokit.paginate.iterator()` com uma instância `octokit` criada especificamente, particularmente com um parâmetro `link` malicioso na seção `headers` da `request`. Isso pode causar alta utilização da CPU e até mesmo lentidão ou congelamento do serviço ao processar cabeçalhos `Link` criados especificamente. A vulnerabilidade ocorre devido ao backtracking excessivo no padrão regex `/<([^>]+)>;s*rel="next"/`. Recomendações: Para versões anteriores à 11.4.1, atualize para a versão 11.4.1 para resolver o problema. Como solução alternativa temporária, considere restringir o uso da função `octokit.paginate.iterator()` até que uma correção esteja disponível. Evite usar o parâmetro `link` na seção `headers` da `request` até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: @octokit/request-error versões 1.0.0 a 6.1.6 Descrição: Existe uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) no processamento de cabeçalhos de requisição HTTP. Ao enviar um cabeçalho `authorization` contendo uma sequência excessivamente longa de espaços seguida por uma nova linha e "@", um atacante pode explorar o processamento ineficiente de expressões regulares, levando ao consumo excessivo de recursos. Isso pode degradar significativamente o desempenho do servidor ou causar uma condição de negação de serviço (DoS), impactando a disponibilidade. Recomendações: Para as versões 1.0.0 a 6.1.6 do @octokit/request-error, atualize para a versão 6.1.7 para resolver o problema. Como solução temporária, considere restringir o comprimento do cabeçalho `authorization` para prevenir o consumo excessivo de recursos. Evite usar o cabeçalho `authorization` com longas sequências de espaços seguidas por uma nova linha e "@" até que o problema seja resolvido.

Nome do Software Vulnerável e Versões Afetadas: @octokit/request versões 1.0.0 até 9.2.1 Descrição: A expressão regular `/<([^>]+)>; rel="deprecation"/` usada para corresponder ao cabeçalho `link` em respostas HTTP é vulnerável a um ataque ReDoS (Negação de Serviço por Expressão Regular). Esta vulnerabilidade surge devido à natureza ilimitada do comportamento de correspondência da regex, o que pode levar a um backtracking catastrófico ao processar entrada especialmente construída. Um invasor poderia explorar essa falha enviando um cabeçalho `link` malicioso, resultando em uso excessivo da CPU e potencialmente fazendo com que o servidor pare de responder, impactando a disponibilidade do serviço. Recomendações: Para as versões 1.0.0 até 9.2.1, atualize para a versão 9.2.1 para corrigir o problema. Como solução alternativa temporária, considere desabilitar o uso do cabeçalho `link` em respostas HTTP até que uma correção esteja disponível. Restrinja o acesso à expressão regular vulnerável para minimizar o risco de exploração. Evite usar o cabeçalho `link` com entrada especialmente construída no endpoint da API afetado até que o problema seja resolvido.