PT-2022-17493 · Unknown · Scss-Tokenizer
Paul Bastide
·
Publicado
2022-07-01
·
Atualizado
2023-08-08
·
CVE-2022-25758
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do scss-tokenizer anteriores à 0.4.3
Descrição
O problema está relacionado a um ataque de negação de serviço por expressão regular (ReDoS) no pacote scss-tokenizer. Isso ocorre por meio da função
loadAnnotation() devido ao uso de expressões regulares inseguras.Recomendações
Para versões anteriores à 0.4.3, atualize para a versão 0.4.3 ou posterior para resolver o problema. Como solução temporária, considere desativar a função
loadAnnotation() até que um patch esteja disponível.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Scss-Tokenizer