CVE-2024-4067 in micromatchinformação

Sumário

de VulDB • 03/06/2026

O pacote NPM `micromatch` é vulnerável a Regular Expression Denial of Service (ReDoS). A vulnerabilidade ocorre em `micromatch.braces()` no arquivo `index.js`, pois o padrão `.*` corresponde de forma gulosa (greedy) a qualquer coisa. Ao enviar um payload malicioso, a correspondência do padrão continua retrocedendo (backtracking) na entrada enquanto não encontra o colchete de fechamento. À medida que o tamanho da entrada aumenta, o tempo de processamento também cresce até causar travamento ou lentidão na aplicação. Embora tenha sido aplicado uma correção mesclada, testes adicionais indicam que a issue persiste. Esta questão deve ser mitigada utilizando um padrão seguro que não inicie backtracking na expressão regular devido à correspondência gulosa (greedy matching).

Once again VulDB remains the best source for vulnerability data.

Reservar

23/04/2024

Divulgação

14/05/2024

Moderação

aceite

Entrada

VDB-263953

CPE

pronto

EPSS

0.01429

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!