Plattform
nodejs
Komponente
minimatch
Behoben in
2.5.4
CVE-2022-3517 describes a Regular Expression Denial of Service (ReDoS) vulnerability within the minimatch package. This flaw occurs when the braceExpand function is called with maliciously crafted arguments, leading to excessive resource consumption and ultimately a Denial of Service (DoS). This issue affects versions of minimatch prior to 3.0.5. Version 3.0.5 contains the necessary fix to mitigate this vulnerability.
Eine Schwachstelle wurde im minimatch-Paket identifiziert, insbesondere in der Funktion braceExpand. CVE-2022-3517 beschreibt eine Regular Expression Denial of Service (ReDoS)-Schwachstelle, die ausgenutzt werden kann, indem bestimmte Argumente an diese Funktion übergeben werden. Ein Angreifer könnte eine bösartige Eingabe senden, die darauf ausgelegt ist, die Funktion dazu zu bringen, eine übermäßige Menge an Systemressourcen (CPU, Speicher) zu verbrauchen, was zu Instabilität der Anwendung oder sogar zum vollständigen Ausfall führen könnte. Die Schwere dieser Schwachstelle wurde mit einem CVSS-Score von 7,5 bewertet, was ein erhebliches Risiko anzeigt. Es ist entscheidend, minimatch auf Version 3.0.5 oder höher zu aktualisieren, um dieses Risiko zu mindern. Diese Schwachstelle betrifft Projekte, die minimatch für die Dateimusterabgleichung verwenden, wie z. B. Build-Tools, Content-Management-Systeme und andere Anwendungen, die von der Dateimustererweiterung abhängen.
Die Schwachstelle wird ausgenutzt, indem eine sorgfältig gestaltete Eingabezeichenfolge an die Funktion braceExpand von minimatch gesendet wird. Diese Zeichenfolge ist darauf ausgelegt, ein übermäßiges Backtracking-Verhalten innerhalb der zugrunde liegenden regulären Expression auszulösen, was zu einem unverhältnismäßigen Verbrauch von Systemressourcen führt. Der Angreifer benötigt keine besonderen Privilegien, um diese Schwachstelle auszunutzen, da er die bösartige Eingabe über eine Benutzeroberfläche oder eine API senden kann. Die Komplexität der regulären Expression erschwert die Erkennung und Verhinderung ohne eine spezifische Korrektur. Die Wahrscheinlichkeit einer Ausnutzung ist hoch, wenn Anwendungen die Benutzereingabe, die in der Funktion braceExpand verwendet wird, nicht ausreichend validieren. Die Ausnutzung kann unauffällig erfolgen, da der Angriff möglicherweise keine sichtbaren Fehler erzeugt, sondern lediglich die Systemleistung im Laufe der Zeit verschlechtert.
Exploit-Status
EPSS
0.45% (64% Perzentil)
CVSS-Vektor
Die primäre Milderung für CVE-2022-3517 ist die Aktualisierung der minimatch-Bibliothek auf Version 3.0.5 oder höher. Diese Version enthält eine Korrektur, die den ReDoS-Angriff verhindert. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie den Code, der braceExpand verwendet, um potenzielle Eingabepunkte für bösartige Daten zu identifizieren. Eine Eingabevalidierung kann implementiert werden, um die Komplexität der an die Funktion übergebenen Muster zu begrenzen. Darüber hinaus kann die Überwachung der Systemressourcennutzung (CPU, Speicher) in Anwendungen, die minimatch verwenden, dazu beitragen, laufende ReDoS-Angriffe zu erkennen. Die Implementierung einer Web Application Firewall (WAF) kann eine zusätzliche Schutzschicht bieten, indem potenziell bösartige Eingabemuster gefiltert werden. Das Update ist die effektivste und empfohlene Lösung.
Actualice el paquete minimatch a la versión 2.5.4 o superior para mitigar el riesgo de denegación de servicio por ReDoS. Puede hacerlo utilizando npm o yarn: `npm install minimatch@latest` o `yarn add minimatch@latest`.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
ReDoS (Regular Expression Denial of Service) ist eine Art von DoS-Angriff, der die Komplexität regulärer Ausdrücke ausnutzt, um eine übermäßige Menge an Systemressourcen zu verbrauchen.
Nicht unbedingt. Sie betrifft Anwendungen, die die Funktion braceExpand verwenden und die Benutzereingabe nicht ausreichend validieren.
Überprüfen Sie den Code, der braceExpand verwendet, und erwägen Sie, eine Eingabevalidierung zu implementieren, um die Komplexität der Muster zu begrenzen.
Überwachen Sie die Systemressourcennutzung (CPU, Speicher) in Anwendungen, die minimatch verwenden. Eine plötzliche und anhaltende Erhöhung der Ressourcennutzung kann auf einen Angriff hindeuten.
Es gibt statische und dynamische Analyse-Tools, die helfen können, komplexe und potenziell anfällige reguläre Ausdrücke zu identifizieren.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.