Plateforme
nodejs
Composant
terser
Corrigé dans
4.8.1
5.14.2
4.8.1
La vulnérabilité CVE-2022-25858 est de type ReDoS (Regular Expression Denial of Service) affectant le package terser. Elle est due à une utilisation non sécurisée des expressions régulières, pouvant mener à une attaque par déni de service. Les versions affectées sont celles antérieures à 4.8.1, ainsi que celles comprises entre 5.0.0 et 5.14.2. La version 4.8.1 corrige cette vulnérabilité.
La vulnérabilité CVE-2022-25858 affecte le paquet terser, en particulier les versions antérieures à 4.8.1 et les versions comprises entre 5.0.0 et 5.14.2. Il s'agit d'une vulnérabilité de Déni de Service par Expressions Régulières (ReDoS). Un attaquant peut envoyer une entrée malveillante qui amène terser à consommer une quantité excessive de ressources système (CPU, mémoire), ce qui pourrait entraîner une instabilité du système ou des plantages. La vulnérabilité réside dans l'utilisation non sécurisée d'expressions régulières au sein de terser, permettant à des motifs malveillants de s'exécuter de manière inefficace, ce qui entraîne une boucle infinie ou une consommation excessive de ressources. La gravité de l'attaque peut varier en fonction de la charge du système et de la complexité de l'entrée malveillante. La mise à jour du paquet est essentielle pour atténuer ce risque.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant puisse contrôler l'entrée traitée par terser. Cela peut se produire dans les applications web où les utilisateurs peuvent fournir du code JavaScript à minimiser ou dans tout autre scénario où terser est utilisé pour traiter des données fournies par l'utilisateur. L'attaquant enverrait une entrée soigneusement conçue contenant une expression régulière malveillante. L'exécution de cette expression régulière par terser consommerait une quantité disproportionnée de ressources, ce qui entraînerait une déni de service. La difficulté de l'exploitation dépend de la capacité de l'attaquant à identifier et à construire une expression régulière qui déclenche l'attaque ReDoS. La complexité des expressions régulières utilisées par terser augmente le risque de cette vulnérabilité.
Applications and services utilizing Terser for JavaScript minification or compression are at risk. This includes web applications, build systems (e.g., webpack, Parcel), and any Node.js projects that depend on Terser directly or indirectly through other packages. Developers using older versions of Terser in production environments are particularly vulnerable.
• nodejs / server:
npm list terser• nodejs / server:
npm audit• nodejs / server: Check package.json for terser versions < 4.8.1 or between 5.0.0 and 5.14.2. • nodejs / server: Monitor CPU usage; spikes correlated with Terser processing could indicate exploitation.
disclosure
Statut de l'Exploit
EPSS
3.56% (percentile 88%)
Vecteur CVSS
La solution pour atténuer la vulnérabilité CVE-2022-25858 consiste à mettre à jour le paquet terser à la version 4.8.1 ou supérieure, ou à la version 5.14.2 ou supérieure. Ces versions contiennent des correctifs qui traitent de l'utilisation non sécurisée des expressions régulières et empêchent l'attaque ReDoS. Il est recommandé d'effectuer cette mise à jour dès que possible, en particulier si l'application utilisant terser est exposée à des entrées contrôlées par l'utilisateur. De plus, examinez le code source de l'application pour identifier les points d'entrée potentiels où cette vulnérabilité pourrait être exploitée, même après la mise à jour. La mise à jour doit être effectuée en suivant les pratiques recommandées de gestion des dépendances afin d'éviter les conflits avec d'autres bibliothèques ou composants du système.
Actualice el paquete terser a la versión 4.8.1 o superior, o a la versión 5.14.2 o superior. Esto corrige la vulnerabilidad de Denegación de Servicio por Expresión Regular (ReDoS) causada por el uso inseguro de expresiones regulares.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
ReDoS (Regular Expression Denial of Service) est un type d'attaque où une expression régulière malveillante est utilisée pour épuiser les ressources du système.
Si votre application utilise une version vulnérable de terser et reçoit des entrées contrôlées par l'utilisateur, elle pourrait être vulnérable à une attaque ReDoS.
En tant que mesure temporaire, vous pouvez limiter la taille des entrées traitées par terser et surveiller l'utilisation des ressources système.
Il existe des outils d'analyse statique et dynamique qui peuvent aider à identifier les modèles d'expressions régulières potentiellement vulnérables.
Vous pouvez trouver plus d'informations dans l'entrée CVE : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25858
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.