CVE-2024-4067 in micromatchinfo

Zusammenfassung

von VulDB • 03.06.2026

Das NPM-Paket `micromatch` ist anfällig für Regular Expression Denial of Service (ReDoS). Die Schwachstelle tritt in `micromatch.braces()` in `index.js` auf, da das Muster `.*` gierig alles matcht. Durch Übermitteln eines bösartigen Payloads wird die Pattern-Matching-Funktion weiterhin Backtracking durchführen, bis sie die schließende Klammer findet. Mit zunehmender Eingabegröße steigt auch die Verarbeitungszeit, was dazu führen kann, dass die Anwendung einfriert oder stark verlangsamt wird. Es wurde zwar ein zusammengeführter Fix bereitgestellt, weitere Tests zeigen jedoch, dass das Problem weiterhin besteht. Dieses Issue sollte durch Verwendung eines sicheren Musters gemildert werden, das aufgrund des gierigen Matchings kein Backtracking der regulären Expression auslöst.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Reservieren

23.04.2024

Veröffentlichung

14.05.2024

Moderieren

akzeptiert

Eintrag

VDB-263953

CPE

bereit

EPSS

0.01429

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!