CVE-2024-4067 in micromatchinformazioni

Riassunto

di VulDB • 17/06/2026

Il pacchetto NPM `micromatch` è vulnerabile a Regular Expression Denial of Service (ReDoS). La vulnerabilità si verifica in `micromatch.braces()` in `index.js` poiché il pattern `.*` corrisponde in modo avido (greedy) a qualsiasi contenuto. Inviando un payload malevolo, la corrispondenza del pattern continua a effettuare backtracking sull'input finché non trova la parentesi di chiusura. All'aumentare delle dimensioni dell'input, anche il tempo di elaborazione aumenta fino a causare il blocco o il rallentamento dell'applicazione. Sebbene sia stato integrato un fix, ulteriori test dimostrano che il problema persiste. Questo problema dovrebbe essere mitigato utilizzando un pattern sicuro che non inneschi il backtracking della espressione regolare a causa della corrispondenza greedy.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Prenotare

23/04/2024

Divulgazione

14/05/2024

Moderazione

accettato

CPE

pronto

EPSS

0.01429

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!