CVE-2024-4067 in micromatch
Zusammenfassung
von VulDB • 03.06.2026
Das NPM-Paket `micromatch` ist anfällig für Regular Expression Denial of Service (ReDoS). Die Schwachstelle tritt in `micromatch.braces()` in `index.js` auf, da das Muster `.*` gierig alles matcht. Durch Übermitteln eines bösartigen Payloads wird die Pattern-Matching-Funktion weiterhin Backtracking durchführen, bis sie die schließende Klammer findet. Mit zunehmender Eingabegröße steigt auch die Verarbeitungszeit, was dazu führen kann, dass die Anwendung einfriert oder stark verlangsamt wird. Es wurde zwar ein zusammengeführter Fix bereitgestellt, weitere Tests zeigen jedoch, dass das Problem weiterhin besteht. Dieses Issue sollte durch Verwendung eines sicheren Musters gemildert werden, das aufgrund des gierigen Matchings kein Backtracking der regulären Expression auslöst.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.