CVE-2020-7662

Versões do módulo npm websocket-extensions anteriores à 0.1.4

A vulnerabilidade permite um ataque de Negação de Serviço (DoS) por meio de backtracking de expressões regulares (Regex). Um invasor pode explorar essa vulnerabilidade enviando uma carga maliciosa com o cabeçalho Sec-WebSocket-Extensions, fazendo com que o analisador de extensões leve um tempo quadrático ao analisar um cabeçalho que contenha um valor de parâmetro de string não fechado. Isso pode levar ao esgotamento da capacidade do servidor de processar solicitações recebidas, tornando o serviço completamente indisponível, especialmente em servidores de thread único.

Para versões anteriores à 0.1.4, atualize para a versão 0.1.4 para resolver a vulnerabilidade. Como solução temporária, considere desativar qualquer funcionalidade WebSocket voltada para o público até que a atualização seja aplicada.