PT-2024-7917 · Unknown+3 · Micromatch+3
Mário Teixeira
·
Publicado
2024-01-04
·
Atualizado
2026-06-04
·
CVE-2024-4067
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L |
Nome do software vulnerável e versões afetadas
Versões do micromatch anteriores à 4.0.8
Descrição
A vulnerabilidade ocorre na função
micromatch.braces() no arquivo index.js, pois o padrão .* realiza uma correspondência gananciosa com qualquer coisa. Ao passar uma carga maliciosa, a correspondência de padrões continuará retrocedendo até a entrada enquanto não encontrar o colchete de fechamento. À medida que o tamanho da entrada aumenta, o tempo de processamento também aumentará até causar o travamento ou a lentidão do aplicativo. Esse problema deve ser mitigado usando um padrão seguro que não inicie o retrocesso da expressão regular devido à correspondência gananciosa.Recomendações
Para versões anteriores à 4.0.8, atualize para a versão 4.0.8 para resolver o problema.
Como solução alternativa temporária, considere usar um padrão seguro que não inicie o backtracking da expressão regular devido à correspondência gananciosa.
Restrinja o acesso à função
micromatch.braces() em index.js para minimizar o risco de exploração.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Red Os
Suse
Micromatch