CVE-2024-4067 in micromatch
Résumé
par VulDB • 03/06/2026
Le package NPM `micromatch` est vulnérable à une attaque par déni de service par expression régulière (ReDoS). La vulnérabilité se situe dans la fonction `micromatch.braces()` du fichier `index.js`, car le motif `.*` effectue un appariement gourmand (greedy) sur n'importe quelle chaîne. En transmettant une charge utile malveillante, l'appariement de motifs provoque des retours en arrière successifs dans l'entrée tant que la parenthèse fermante correspondante n'est pas trouvée. À mesure que la taille de l'entrée augmente, le temps de traitement croît également jusqu'à provoquer un blocage ou une forte ralentissement de l'application. Une correction a été fusionnée, mais des tests ultérieurs montrent que le problème persiste. Cette vulnérabilité doit être atténuée en utilisant un motif sûr qui n'entraîne pas de retours en arrière dans l'expression régulière dus à un appariement gourmand.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.