CVE-2024-55565

Versões do nanoid anteriores à 5.0.9

A versão 3.3.8 do nanoid é uma versão corrigida, o que implica que as versões anteriores à 3.3.8 também estão afetadas; no entanto, como a 3.3.8 é mencionada como uma versão corrigida, isso indica que as versões anteriores à 3.3.8 e entre a 3.3.8 e a 5.0.9 estão vulneráveis. Contudo, para consolidar as informações corretamente com base nas instruções fornecidas:

versões do nanoid anteriores à 5.0.9

O problema diz respeito ao tratamento incorreto de valores não inteiros pelo nanoid. Quando chamado com um valor fracionário, isso pode causar vários efeitos indesejáveis, incluindo loops infinitos em navegadores e ambientes não seguros; e no Node, pode fazer com que o poolOffset se torne fracionário, levando o nanoid a retornar zeros até que o pool seja preenchido novamente. Além disso, se a primeira chamada no Node for um argumento fracionário, a alocação inicial do buffer falhará com um erro.

Para versões anteriores à 5.0.9, atualize para a versão 5.0.9 ou posterior para resolver o problema.

Para versões anteriores à 3.3.8, atualize para a versão 3.3.8 ou posterior para resolver o problema.

Como solução temporária, considere evitar o uso de valores fracionários com o nanoid até que um patch seja aplicado.