PT-2022-8728 · Is.Js · Is.Js
Erik Krogh Kristensen
·
Publicado
2022-12-22
·
Atualizado
2023-07-06
·
CVE-2020-26302
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
is.js versões 0.9.0 e anteriores
Descrição
O is.js é uma biblioteca de verificação de uso geral que contém uma ou mais expressões regulares vulneráveis a ataques de negação de serviço por expressões regulares (ReDoS). A biblioteca utiliza uma expressão regular para validar URLs, o que pode fazer com que ela entre em um loop “infinito” ao tentar validar uma string maliciosa. Esta vulnerabilidade foi identificada por meio de uma consulta CodeQL que detecta expressões regulares ineficientes.
Recomendações
Para as versões 0.9.0 e anteriores, no momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Resource Exhaustion
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Is.Js