CVE-2024-4067 in micromatch
要約
〜によって VulDB • 2026年05月14日
NPMパッケージ`micromatch`は、正規表現拒否サービス(ReDoS)に対して脆弱です。この脆弱性は`index.js`内の`micromatch.braces()`で発生し、パターン`.*`が貪欲にあらゆる文字列に一致するためです。悪意のあるペイロードを渡すと、閉じ括弧が見つかるまでパターンマッチングが入力に対してバックトラックを繰り返します。入力サイズが増加するにつれて、処理時間も増加し、最終的にアプリケーションがハングアップしたり、動作が著しく遅延したりします。修正パッチはマージされましたが、追加のテストにより問題が継続していることが示されています。この問題は、貪欲なマッチングにより正規表現のバックトラックを引き起こさない安全なパターンを使用することで緩和できます。
If you want to get best quality of vulnerability data, you may have to visit VulDB.