PT-2025-24550 · Juliangruber+4 · Brace-Expansion+4

Mmmsssttt

+1

·

Publicado

2025-06-09

·

Atualizado

2026-06-04

·

CVE-2025-5889

CVSS v3.1

3.1

Baixa

VetorAV:N/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:L
Nome do Software Vulnerável e Versões Afetadas juliangruber brace-expansion versões 1.1.11 até 4.0.0
Descrição Uma vulnerabilidade foi encontrada na função expand do arquivo index.js, resultando em complexidade ineficiente de expressão regular. O ataque pode ser executado remotamente, com complexidade bastante elevada. Sabe-se que a exploração é difícil e o exploit foi divulgado publicamente.
Recomendações Para corrigir este problema, atualize para a versão 1.1.12, 2.0.2, 3.0.1 ou 4.0.1. Como solução temporária, considere desabilitar a função expand até que um patch esteja disponível. Restrinja o acesso ao arquivo vulnerável index.js para minimizar o risco de exploração.

Exploit

Correção

DoS

Resource Exhaustion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1333CWE-400

Identificadores relacionados

AZL-63689
AZL-63692
AZL-63704
AZL-63707
AZL-63881
BDU:2026-01715
CVE-2025-5889
GHSA-V6H2-P8H4-QCJW
OESA-2025-1645
OPENSUSE-SU-2025:15269-1
OPENSUSE-SU-2025:15270-1
OPENSUSE-SU-2025:15271-1
OPENSUSE-SU-2025:15273-1
OPENSUSE-SU-2025:15274-1
OPENSUSE-SU-2025:15275-1
OPENSUSE-SU-2025:15276-1
OPENSUSE-SU-2025:15277-1
OPENSUSE-SU-2025:15278-1
OPENSUSE-SU-2025:15279-1
OPENSUSE-SU-2025:15280-1
OPENSUSE-SU-2025:15582-1
SUSE-SU-2025:3744-1

Produtos afetados

Astra Linux
Debian
Red Os
Suse
Brace-Expansion