CVE-2021-29060

color-string versões 1.5.5 e anteriores

O problema está relacionado a uma vulnerabilidade de negação de serviço por expressão regular (ReDOS) na biblioteca color-string, que pode causar consumo excessivo de recursos ao processar cadeias HWB inválidas criadas propositalmente. Isso pode levar a uma negação de serviço. A vulnerabilidade ocorre devido à complexidade temporal exponencial para comprimentos de entrada que aumentam linearmente para strings de cor hwb(), especificamente na expressão regular que analisa o valor de matiz. O tempo de processamento estimado aumenta significativamente com o comprimento da string de entrada, sendo que strings com mais de 50.000 caracteres levam cerca de 1,5 segundos para serem processadas.

Para a versão 1.5.5 e anteriores da string de cor, considere desativar a função hwb() até que um patch esteja disponível para evitar possíveis ataques de negação de serviço. Restrinja os comprimentos de entrada para strings de cor hwb() para minimizar o risco de exploração. Evite usar a função hwb() com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.