Plateforme
nodejs
Composant
minimatch
Corrigé dans
2.5.4
La vulnérabilité CVE-2022-3517 affecte le package minimatch. Elle se manifeste par une attaque de type ReDoS (Regular Expression Denial of Service) lors de l'appel de la fonction braceExpand avec des arguments spécifiques. L'impact est un déni de service (DoS). Les versions de minimatch antérieures à 3.0.5 sont concernées. La version 3.0.5 corrige cette vulnérabilité.
Une vulnérabilité a été identifiée dans le paquet minimatch, plus précisément au sein de la fonction braceExpand. CVE-2022-3517 décrit une vulnérabilité de type Regular Expression Denial of Service (ReDoS) qui peut être exploitée en fournissant des arguments spécifiques à cette fonction. Un attaquant pourrait envoyer une entrée malveillante conçue pour amener la fonction à consommer une quantité excessive de ressources système (CPU, mémoire), ce qui pourrait entraîner une instabilité de l'application ou un échec complet. La gravité de cette vulnérabilité a été évaluée à un score CVSS de 7,5, ce qui indique un risque significatif. Il est crucial de mettre à jour minimatch à la version 3.0.5 ou supérieure pour atténuer ce risque. Cette vulnérabilité affecte les projets qui utilisent minimatch pour la correspondance de modèles de fichiers, tels que les outils de construction, les systèmes de gestion de contenu et autres applications qui dépendent de l'expansion de modèles de fichiers.
La vulnérabilité est exploitée en envoyant une chaîne d'entrée soigneusement conçue à la fonction braceExpand de minimatch. Cette chaîne est conçue pour déclencher un comportement de retour arrière excessif au sein de l'expression régulière sous-jacente, ce qui entraîne une consommation disproportionnée des ressources système. L'attaquant n'a pas besoin de privilèges spéciaux pour exploiter cette vulnérabilité, car il peut envoyer l'entrée malveillante via une interface utilisateur ou une API. La complexité de l'expression régulière rend difficile sa détection et sa prévention sans une correction spécifique. La probabilité d'exploitation est élevée si les applications ne valident pas correctement l'entrée utilisateur utilisée dans la fonction braceExpand. L'exploitation peut être silencieuse, car l'attaque peut ne pas générer d'erreurs visibles immédiatement, mais simplement dégrader les performances du système au fil du temps.
Statut de l'Exploit
EPSS
0.45% (percentile 64%)
Vecteur CVSS
L'atténuation principale pour CVE-2022-3517 est de mettre à jour la bibliothèque minimatch à la version 3.0.5 ou supérieure. Cette version inclut une correction qui empêche l'attaque ReDoS. Si une mise à jour immédiate n'est pas possible, examinez le code qui utilise braceExpand pour identifier les points d'entrée potentiels pour des données malveillantes. Une validation d'entrée peut être mise en œuvre pour limiter la complexité des modèles transmis à la fonction. De plus, surveiller l'utilisation des ressources système (CPU, mémoire) dans les applications utilisant minimatch peut aider à détecter les attaques ReDoS en cours. La mise en œuvre d'un pare-feu d'applications web (WAF) peut fournir une couche de protection supplémentaire en filtrant les modèles d'entrée potentiellement malveillants. La mise à jour est la solution la plus efficace et recommandée.
Actualice el paquete minimatch a la versión 2.5.4 o superior para mitigar el riesgo de denegación de servicio por ReDoS. Puede hacerlo utilizando npm o yarn: `npm install minimatch@latest` o `yarn add minimatch@latest`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
ReDoS (Regular Expression Denial of Service) est un type d'attaque DoS qui exploite la complexité des expressions régulières pour consommer une quantité excessive de ressources système.
Pas nécessairement. Elle affecte les applications qui utilisent la fonction braceExpand et ne valident pas correctement l'entrée utilisateur.
Examinez le code qui utilise braceExpand et envisagez de mettre en œuvre une validation d'entrée pour limiter la complexité des modèles.
Surveillez l'utilisation des ressources système (CPU, mémoire) dans les applications utilisant minimatch. Une augmentation soudaine et soutenue de l'utilisation des ressources peut indiquer une attaque.
Il existe des outils d'analyse statique et dynamique qui peuvent aider à identifier les modèles d'expressions régulières complexes et potentiellement vulnérables.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.