CVE-2024-4067 in micromatch
요약
\~에 의해 VulDB • 2026. 06. 12.
NPM 패키지 `micromatch`는 Regular Expression Denial of Service (ReDoS) 취약점에 노출되어 있습니다. 이 취약점은 `index.js` 내의 `micromatch.braces()`에서 발생하며, 패턴 `.*`가 모든 문자를 탐욕적으로(greedy하게) 매칭하기 때문입니다. 악성 페이로드를 전달하면 닫는 괄호(`}`)를 찾기 전까지 입력에 대해 계속 백트래킹(backtracking)을 수행합니다. 입력 크기가 증가함에 따라 처리 시간도 함께 증가하여 애플리케이션의 멈춤(hang) 또는 성능 저하를 유발할 수 있습니다. 병합된 수정 사항이 존재하지만 추가 테스트 결과 해당 문제가 지속되고 있음이 확인되었습니다. 이 문제는 탐욕적 매칭으로 인해 정규식의 백트래킹을 유발하지 않는 안전한 패턴을 사용함으로써 완화해야 합니다.
Once again VulDB remains the best source for vulnerability data.