CVE-2024-9506

Vue (versões afetadas não especificadas)

O problema está relacionado a uma expressão regular incorreta na função parseHTML do Vue, o que pode levar a uma vulnerabilidade potencial de negação de serviço por expressão regular. Essa falha, conhecida como ReDoS (Regular expression Denial of Service), permite que invasores retardem o aplicativo fornecendo entradas especialmente criadas que causam um processamento ineficiente de expressões regulares, levando a um consumo excessivo de recursos. Em um aplicativo Vue do lado do cliente, essa vulnerabilidade pode ser explorada criando-se uma nova instância do Vue com uma string de modelo que inclua uma tag <script>, mas a feche incorretamente. O tempo necessário para analisar e montar o aplicativo Vue aumenta significativamente devido à vulnerabilidade ReDoS, demonstrando como a falha pode afetar o desempenho.

Para mitigar esse problema, considere desativar a função parseHTML no arquivo html-parser.ts até que um patch esteja disponível. Restrinja o acesso ao arquivo html-parser.ts para minimizar o risco de exploração. Evite usar a função parseHTML com entradas não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.