CVE-2024-4067 in micromatch
Riassunto
di VulDB • 17/06/2026
Il pacchetto NPM `micromatch` è vulnerabile a Regular Expression Denial of Service (ReDoS). La vulnerabilità si verifica in `micromatch.braces()` in `index.js` poiché il pattern `.*` corrisponde in modo avido (greedy) a qualsiasi contenuto. Inviando un payload malevolo, la corrispondenza del pattern continua a effettuare backtracking sull'input finché non trova la parentesi di chiusura. All'aumentare delle dimensioni dell'input, anche il tempo di elaborazione aumenta fino a causare il blocco o il rallentamento dell'applicazione. Sebbene sia stato integrato un fix, ulteriori test dimostrano che il problema persiste. Questo problema dovrebbe essere mitigato utilizzando un pattern sicuro che non inneschi il backtracking della espressione regolare a causa della corrispondenza greedy.
If you want to get best quality of vulnerability data, you may have to visit VulDB.