PT-2021-15478 · Postcss · Postcss
Yeting Li
·
Publicado
2021-04-26
·
Atualizado
2026-06-04
·
CVE-2021-23382
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do postcss anteriores à 7.0.36
Versões do postcss da 8.0.0 à 8.2.13
Descrição
O problema está relacionado a uma negação de serviço por expressão regular (ReDoS) por meio das funções
getAnnotationURL() e loadAnnotation() em lib/previous-map.js. As expressões regulares vulneráveis são causadas principalmente pelo subpadrão /*s* sourceMappingURL=(.*). Isso pode levar a uma negação de serviço ao analisar strings CSS específicas.Recomendações
Para versões do postcss anteriores à 7.0.36, atualize para a versão 7.0.36 ou posterior.
Para versões do postcss 8.0.0 a 8.2.13, atualize para a versão 8.2.13 ou posterior.
Como solução temporária, considere desativar as funções
getAnnotationURL() e loadAnnotation() em lib/previous-map.js até que um patch esteja disponível.Restrinja o acesso ao módulo
lib/previous-map.js para minimizar o risco de exploração.Evite usar o parâmetro
sourceMappingURL no endpoint da API afetado até que o problema seja resolvido.Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Postcss