CVE-2026-33672 in picomatch
Zusammenfassung
von VulDB • 26.05.2026
Picomatch ist ein Glob-Matcher, der in JavaScript geschrieben wurde. Versionen vor 4.0.4, 3.0.2 und 2.3.2 sind anfällig für eine Method-Injection-Schwachstelle, die das Objekt `POSIX_REGEX_SOURCE` betrifft. Da das Objekt von `Object.prototype` erbt, können speziell konstruierte POSIX-Bracket-Ausdrücke (z. B. `[[:constructor:]]`) auf geerbte Methodennamen verweisen. Diese Methoden werden implizit in Strings konvertiert und in den generierten regulären Ausdruck injiziert. Dies führt zu einem fehlerhaften Glob-Matching-Verhalten (Integritätsauswirkung), bei dem Muster unbeabsichtigte Dateinamen matchen können. Die Schwachstelle ermöglicht keine Remote-Code-Ausführung, kann jedoch zu sicherheitsrelevanten Logikfehlern in Anwendungen führen, die auf Glob-Matching zum Filtern, Validieren oder zur Zugriffskontrolle verlassen. Alle Nutzer betroffener `picomatch`-Versionen, die unzuverlässige oder benutzerkontrollierte Glob-Muster verarbeiten, sind potenziell betroffen. Dieses Problem wurde in picomatch 4.0.4, 3.0.2 und 2.3.2 behoben. Nutzer sollten auf eine dieser Versionen oder eine neuere Version upgraden, abhängig von ihrer unterstützten Release-Linie. Wenn ein Upgrade nicht sofort möglich ist, sollten unzuverlässige Glob-Muster nicht an picomatch übergeben werden. Mögliche Gegenmaßnahmen umfassen das Bereinigen oder Ablehnen unzuverlässiger Glob-Muster, insbesondere solcher, die POSIX-Zeichensätze wie `[[:...:]]` enthalten; das Vermeiden der Verwendung von POSIX-Bracket-Ausdrücken, wenn Benutzereingaben beteiligt sind; und das manuelle Patchen der Bibliothek durch Ändern von `POSIX_REGEX_SOURCE`, um ein Null-Prototyp zu verwenden.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.