PT-2022-24021 · Webpack+2 · Loader-Utils+2
Kundarsowjanya
·
Publicado
2022-10-11
·
Atualizado
2026-06-04
·
CVE-2022-37599
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
webpack loader-utils versão 2.0.0
Descrição
Foi encontrada uma falha de negação de serviço por expressão regular (ReDoS) na função
interpolateName no arquivo interpolateName.js por meio da variável resourcePath. Essa vulnerabilidade pode ser explorada enviando-se solicitações maliciosas com strings malformadas ou criadas propositalmente, causando a falha do sistema ou um tempo de processamento desproporcionalmente longo.Recomendações
Para a versão 2.0.0, atualize para a versão 2.0.4 para resolver o problema.
Como solução temporária, considere restringir o uso da função
interpolateName até que um patch esteja disponível.Evite usar a variável
resourcePath no arquivo interpolateName.js afetado até que o problema seja resolvido.Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Confluence
Red Os
Loader-Utils