CVE-2026-27903

Nome do Software Vulnerável e Versões Afetadas versões do minimatch anteriores a 3.1.3 versões do minimatch de 3.1.3 até 4.2.5 versões do minimatch de 4.2.5 até 5.1.8 versões do minimatch de 5.1.8 até 6.2.2 versões do minimatch de 6.2.2 até 7.4.8 versões do minimatch de 7.4.8 até 8.0.6 versões do minimatch de 8.0.6 até 9.0.7 versões do minimatch de 9.0.7 até 10.2.3

Descrição O software minimatch contém uma falha onde a função matchOne() pode sofrer backtracking recursivo ilimitado ao processar padrões glob com múltiplos segmentos ** (GLOBSTAR) não adjacentes, particularmente quando o caminho de entrada não corresponde ao padrão. Isso pode levar a uma complexidade de tempo de O(C(n, k)), onde n representa o número de segmentos de caminho e k é o número de globstars. Este problema pode fazer com que o event loop do Node.js trave por períodos prolongados, potencialmente dezenas de segundos, com um tamanho de padrão de aproximadamente 56 bytes. Aplicativos vulneráveis a este problema incluem ferramentas de build, executores de tarefas, sistemas multi-tenant, interfaces de administração e pipelines de CI/CD que aceitam argumentos glob fornecidos pelo usuário. Um atacante que possa controlar o padrão glob passado para minimatch() pode explorar esta falha.

Recomendações Atualize para a versão do minimatch 3.1.3 ou posterior. Atualize para a versão do minimatch 4.2.5 ou posterior. Atualize para a versão do minimatch 5.1.8 ou posterior. Atualize para a versão do minimatch 6.2.2 ou posterior. Atualize para a versão do minimatch 7.4.8 ou posterior. Atualize para a versão do minimatch 8.0.6 ou posterior. Atualize para a versão do minimatch 9.0.7 ou posterior. Atualize para a versão do minimatch 10.2.3 ou posterior.