Plateforme
nodejs
Composant
loader-utils
Corrigé dans
2.5.4
CVE-2022-37599 est une vulnérabilité de type Denial of Service (DoS) affectant la librairie loader-utils. Plus précisément, une attaque ReDoS (Regular expression Denial of Service) peut être déclenchée via la fonction interpolateName en exploitant la variable resourcePath. Une chaîne mal formée peut provoquer un crash du système ou une consommation excessive de ressources. Cette vulnérabilité est corrigée dans les versions 1.4.2, 2.0.4 et 3.2.1.
La vulnérabilité CVE-2022-37599 dans loader-utils expose les systèmes à un déni de service par expression régulière (ReDoS). L'attaque exploite la fonction interpolateName dans interpolateName.js, en particulier la variable resourcePath. Un attaquant pourrait injecter une chaîne mal formée ou spécialement conçue dans resourcePath pour provoquer une consommation excessive de ressources CPU, entraînant potentiellement un crash du système ou un ralentissement significatif. Le risque principal est donc la perturbation du service et la perte de disponibilité. Bien que la description ne précise pas de données sensibles directement compromises, un ReDoS peut indirectement masquer d'autres attaques ou rendre le système vulnérable à d'autres exploits en raison de sa dégradation des performances. Le rayon d'impact est potentiellement large, affectant tous les systèmes utilisant loader-utils avec les versions vulnérables, en particulier dans les environnements de développement et de build webpack où resourcePath est fréquemment utilisé. L'exploitation réussie pourrait interrompre les processus de build, les tests automatisés et même les déploiements, impactant ainsi la productivité des développeurs et la stabilité des applications.
À l'heure actuelle, il n'y a pas de rapports publics d'exploitation active de CVE-2022-37599 (KEV). Bien que la vulnérabilité soit classée comme de haute gravité (CVSS score de 7.5), l'absence de preuves d'exploitation publique suggère que l'exploitation est soit difficile, soit que les attaquants n'ont pas encore identifié de moyen efficace d'exploiter la vulnérabilité à grande échelle. Cependant, il est important de noter que l'absence de rapports publics ne signifie pas que la vulnérabilité n'est pas exploitable. Un ReDoS est souvent plus facile à identifier et à exploiter que d'autres types de vulnérabilités, et il est donc conseillé de traiter cette vulnérabilité avec une priorité élevée et de la corriger rapidement. L'absence de POC publics rend l'évaluation précise de l'urgence plus difficile, mais la gravité du CVSS score justifie une action rapide.
Statut de l'Exploit
EPSS
4.00% (percentile 88%)
Vecteur CVSS
La solution la plus efficace pour corriger CVE-2022-37599 est de mettre à niveau loader-utils vers une version corrigée. Les versions 1.4.2, 2.0.4 et 3.2.1 corrigent cette vulnérabilité. Il est fortement recommandé d'effectuer cette mise à niveau dès que possible. Si la mise à niveau n'est pas immédiatement possible, il n'existe pas de contournement simple pour prévenir complètement le ReDoS. Cependant, une validation stricte de la variable resourcePath avant de l'utiliser dans interpolateName pourrait atténuer le risque, mais cela nécessiterait une modification du code et une compréhension approfondie du format attendu de resourcePath. Après la mise à niveau, il est crucial de vérifier que la nouvelle version est correctement installée et fonctionne comme prévu. Effectuez des tests de build et de développement pour vous assurer que l'application se comporte normalement et qu'il n'y a pas de régressions. La vérification peut inclure des tests de performance pour s'assurer que la consommation de CPU est dans des limites acceptables.
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto corregirá la expresión regular vulnerable en la función interpolateName, previniendo ataques que podrían causar un consumo excesivo de recursos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2022-37599 is a Regular Expression Denial of Service (ReDoS) vulnerability in webpack's loader-utils library that can cause system crashes or performance degradation.
You are affected if you are using a version of loader-utils prior to 1.4.2, 2.0.4, or 3.2.1.
Upgrade your loader-utils dependency to version 1.4.2 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or Proof-of-Concept code for this vulnerability.
Refer to the National Vulnerability Database (NVD) entry for more details: https://nvd.nist.gov/vuln/detail/CVE-2022-37599
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.