CVE-2025-25290

Nome do Software Vulnerável e Versões Afetadas: @octokit/request versões 1.0.0 até 9.2.1

Descrição: A expressão regular /<([^>]+)>; rel="deprecation"/ usada para corresponder ao cabeçalho link em respostas HTTP é vulnerável a um ataque ReDoS (Negação de Serviço por Expressão Regular). Esta vulnerabilidade surge devido à natureza ilimitada do comportamento de correspondência da regex, o que pode levar a um backtracking catastrófico ao processar entrada especialmente construída. Um invasor poderia explorar essa falha enviando um cabeçalho link malicioso, resultando em uso excessivo da CPU e potencialmente fazendo com que o servidor pare de responder, impactando a disponibilidade do serviço.

Recomendações: Para as versões 1.0.0 até 9.2.1, atualize para a versão 9.2.1 para corrigir o problema. Como solução alternativa temporária, considere desabilitar o uso do cabeçalho link em respostas HTTP até que uma correção esteja disponível. Restrinja o acesso à expressão regular vulnerável para minimizar o risco de exploração. Evite usar o cabeçalho link com entrada especialmente construída no endpoint da API afetado até que o problema seja resolvido.