CVE-2025-25283

Nome do Software Vulnerável e Versões Afetadas: versões do parse-duraton anteriores à 2.1.3

Descrição: O problema está relacionado a um atraso no loop de eventos devido à operação de resolução da string fornecida, limitada pela CPU, que pode variar de 0,5ms a ~50ms por operação, dependendo do tamanho da string de entrada, que pode variar de 0,01 MB a 4,3 MB. Além disso, pode ocorrer um problema de falta de memória devido a um tamanho de string de aproximadamente 10 MB que utiliza caracteres Unicode, fazendo com que uma aplicação Node.js trave. A função parse() na biblioteca é vulnerável a este problema, particularmente ao usar a função replace(), que cria cópias da entrada na memória.

Recomendações: Para versões anteriores à 2.1.3, atualize para a versão 2.1.3, que contém uma correção para este problema. Como solução temporária, considere restringir o tamanho das strings de entrada para prevenir atrasos excessivos e problemas de falta de memória. Além disso, implementar limites de taxa em requisições simultâneas pode ajudar a mitigar o impacto deste problema no desempenho da aplicação.