PT-2022-24024 · Webpack+2 · Webpack Loader-Utils+2
Secdevlpr26
·
Publicado
2022-10-14
·
Atualizado
2026-06-04
·
CVE-2022-37603
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
webpack loader-utils versão 2.0.0
versões do webpack loader-utils anteriores à 1.4.2
versões do webpack loader-utils anteriores à 2.0.4
versões do webpack loader-utils anteriores à 3.2.1
Descrição
Foi encontrada uma falha de negação de serviço por expressão regular (ReDoS) na função
interpolateName no arquivo interpolateName.js do webpack loader-utils, por meio da variável url. Uma string mal formada ou criada com intenção maliciosa poderia ser usada para enviar solicitações manipuladas que causariam a falha do sistema ou levariam um tempo desproporcional para serem processadas.Recomendações
Para a versão 2.0.0, atualize para a versão 2.0.4 ou posterior para resolver o problema.
Para versões anteriores à 1.4.2, atualize para a versão 1.4.2 ou posterior para resolver o problema.
Para versões anteriores à 3.2.1, atualize para a versão 3.2.1 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso da função
interpolateName no arquivo interpolateName.js até que um patch seja aplicado.Evite usar a variável
url no arquivo interpolateName.js afetado até que o problema seja resolvido.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Confluence
Red Os
Webpack Loader-Utils