CVE-2021-29486

**Nome do software vulnerável e versões afetadas:

versões da biblioteca cumulative-distribution-function anteriores à 2.0.0

Descrição:

O problema surge quando a biblioteca cumulative-distribution-function é utilizada com dados inadequados, podendo causar a falha de aplicativos ou levá-los a um loop infinito. Isso pode ocorrer tanto em aplicativos de servidor Node.js quanto em aplicativos de navegador, quando processam dados não numéricos inválidos. A vulnerabilidade permite um ataque de negação de serviço (DoS) por loop infinito da CPU se um invasor conseguir fornecer dados malformados à biblioteca. Ela também pode se manifestar se uma fonte de dados mudar de dados numéricos para dados de string sem ser detectada pelas versões anteriores da biblioteca.

Recomendações:

Para versões anteriores à 2.0.0, atualize para pelo menos a v2.0.0 ou a versão mais recente para resolver o problema.

Como solução temporária para versões mais antigas, certifique-se de que apenas dados numéricos finitos do tipo Array[number] ou number sejam passados para cumulative-distribution-function e sua função f(x), respectivamente.

Os desenvolvedores que utilizam esta biblioteca podem querer ajustar o código de seus aplicativos para tolerar ou lidar melhor com o TypeError() lançado pela versão 2.0.0 quando ela encontra dados inválidos.