Plateforme
nodejs
Composant
nth-check
Corrigé dans
2.0.1
La vulnérabilité CVE-2021-3803 affecte la bibliothèque nth-check, une dépendance Node.js. Elle se manifeste par une inefficacité de l'expression régulière, pouvant conduire à un déni de service (DoS) en raison d'une complexité excessive lors de son traitement. Les versions concernées sont celles inférieures ou égales à 2.0.1. Une version corrigée, 2.0.1, est désormais disponible.
Cette vulnérabilité exploite une expression régulière mal conçue au sein de nth-check. Un attaquant peut provoquer une consommation excessive de ressources CPU et mémoire en fournissant une entrée spécialement conçue pour déclencher une complexité exponentielle dans l'expression régulière. Cela peut entraîner un ralentissement significatif, voire un blocage complet, de l'application Node.js utilisant cette bibliothèque. L'impact est principalement un déni de service, mais dans certains cas, une consommation excessive de ressources pourrait également impacter d'autres processus sur le même serveur. Bien qu'il n'y ait pas de rapport d'exploitation active connu, la nature de la vulnérabilité la rend potentiellement exploitable par des acteurs malveillants.
La vulnérabilité CVE-2021-3803 a été divulguée publiquement le 17 septembre 2021. Elle n'est pas répertoriée sur le KEV de CISA à ce jour. Il n'existe pas de preuve d'exploitation active à l'heure actuelle, mais la simplicité de l'exploitation potentielle rend la vulnérabilité préoccupante. Des preuves de concept (PoC) pourraient être développées et rendues publiques à tout moment.
Statut de l'Exploit
EPSS
0.13% (percentile 33%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque nth-check vers la version 2.0.1 ou supérieure. Si la mise à jour n'est pas immédiatement possible, une solution temporaire pourrait consister à limiter la taille des entrées soumises à la fonction utilisant l'expression régulière vulnérable. Il est également possible d'ajouter une validation des entrées pour s'assurer qu'elles ne contiennent pas de motifs susceptibles de déclencher une complexité excessive. Enfin, surveiller l'utilisation des ressources CPU et mémoire de l'application peut aider à détecter une attaque en cours.
Mettez à jour la dépendance `nth-check` à la version 2.0.1 ou supérieure. Cela résoudra la vulnérabilité de complexité inefficace de l'expression régulière. Exécutez `npm install nth-check@latest` ou `yarn upgrade nth-check@latest` pour mettre à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-3803 is a denial-of-service vulnerability in nth-check versions up to 2.0.1, caused by an inefficient regular expression. A crafted input can trigger resource exhaustion, leading to system instability.
You are affected if you are using nth-check version 2.0.1 or earlier. Check your installed version using nth-check --version.
Upgrade to version 2.0.1 or later of nth-check. If immediate upgrade isn't possible, implement upstream input validation to limit input complexity.
There is currently no evidence of active exploitation campaigns targeting CVE-2021-3803, but it remains a potential risk.
Refer to the nth-check project's repository or website for the official advisory and release notes related to CVE-2021-3803.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.