PT-2026-3889 · Seroval · Seroval
Lxsmnsyc
+1
·
Publicado
2026-01-21
·
Atualizado
2026-05-20
·
CVE-2026-23956
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
seroval versões 1.4.0 e anteriores
Descrição
O seroval é uma biblioteca JavaScript que facilita a stringificação de valores, incluindo estruturas complexas. Nas versões 1.4.0 e anteriores, substituir a serialização de RegExp com padrões excessivamente grandes pode esgotar a memória do tempo de execução do JavaScript durante a desserialização. Substituir a serialização de RegExp com padrões que disparam backtracking catastrófico pode levar ao ReDoS (Negação de Serviço por Expressão Regular). Backtracking catastrófico é uma condição em que o mecanismo de expressão regular leva um tempo extremamente longo para concluir sua busca devido à estrutura do padrão.
Recomendações
Configure
disabledFeatures para desabilitar a serialização de RegExp completamente.Exploit
Correção
DoS
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Seroval