CVE-2024-4067 in micromatch
Resumen
por MITRE • 2024-05-14
El paquete NPM `micromatch` es vulnerable a la denegación de servicio de expresión regular (ReDoS). La vulnerabilidad ocurre en `micromatch.braces()` en `index.js` porque el patrón `.*` coincidirá con avidez con cualquier cosa. Al pasar un payload malicioso, la coincidencia de patrones seguirá retrocediendo hasta la entrada hasta que no encuentre el corchete de cierre. A medida que aumenta el tamaño de la entrada, el tiempo de consumo también aumentará hasta provocar que la aplicación se cuelgue o se ralentice. Hubo una solución combinada, pero pruebas adicionales muestran que el problema persiste. Este problema se debe mitigar mediante el uso de un patrón seguro que no comience a retroceder la expresión regular debido a coincidencias codiciosas.
If you want to get best quality of vulnerability data, you may have to visit VulDB.