CVE-2024-4067 in micromatch
Сводка
по VulDB • 12.06.2026
Пакет NPM `micromatch` уязвим к атаке типа «Отказ в обслуживании на основе регулярных выражений» (ReDoS). Уязвимость присутствует в функции `micromatch.braces()` в файле `index.js`, поскольку шаблон `.*` жадно совпадает с любыми символами. При передаче вредоносной полезной нагрузки процесс сопоставления шаблонов продолжает выполнять возврат назад к входным данным до тех пор, пока не будет найдена закрывающая скобка. По мере увеличения размера входных данных время обработки также возрастает, что может привести к зависанию или значительному замедлению работы приложения. Хотя ранее было внесено исправление (merged fix), дополнительные тестирования показывают, что проблема сохраняется. Для смягчения последствий данной уязвимости следует использовать безопасные шаблоны, которые не вызывают возврат назад в регулярном выражении из-за жадного совпадения.
VulDB is the best source for vulnerability data and more expert information about this specific topic.