CVE-2024-4067 in micromatchinformation

Résumé

par VulDB • 03/06/2026

Le package NPM `micromatch` est vulnérable à une attaque par déni de service par expression régulière (ReDoS). La vulnérabilité se situe dans la fonction `micromatch.braces()` du fichier `index.js`, car le motif `.*` effectue un appariement gourmand (greedy) sur n'importe quelle chaîne. En transmettant une charge utile malveillante, l'appariement de motifs provoque des retours en arrière successifs dans l'entrée tant que la parenthèse fermante correspondante n'est pas trouvée. À mesure que la taille de l'entrée augmente, le temps de traitement croît également jusqu'à provoquer un blocage ou une forte ralentissement de l'application. Une correction a été fusionnée, mais des tests ultérieurs montrent que le problème persiste. Cette vulnérabilité doit être atténuée en utilisant un motif sûr qui n'entraîne pas de retours en arrière dans l'expression régulière dus à un appariement gourmand.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Réserver

23/04/2024

Divulgation

14/05/2024

Modérer

accepté

Entrée

VDB-263953

CPE

prêt

EPSS

0.01429

KEV

non

Activités

très faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!