Plateforme
nodejs
Composant
loader-utils
Corrigé dans
2.5.4
CVE-2022-37603 est une vulnérabilité de type Denial of Service (DoS) affectant la fonction interpolateName dans interpolateName.js de webpack loader-utils. Une chaîne de caractères mal formée peut provoquer un crash du système ou une consommation excessive de ressources. Cette vulnérabilité affecte les versions antérieures à 1.4.2. Elle est corrigée dans les versions 1.4.2, 2.0.4 et 3.2.1.
La CVE-2022-37603 affecte la bibliothèque loader-utils utilisée par webpack, plus précisément la fonction interpolateName dans interpolateName.js. Cette vulnérabilité est une attaque par déni de service par expression régulière (ReDoS). Un attaquant peut envoyer des requêtes soigneusement conçues contenant des chaînes malveillantes via la variable url. Ces chaînes, lors de leur traitement par l'expression régulière, peuvent consommer une quantité disproportionnée de ressources système, entraînant un crash ou un ralentissement important. Le risque est particulièrement élevé dans les environnements où webpack est utilisé pour construire des applications web complexes, car une attaque réussie pourrait perturber le processus de construction et affecter la disponibilité du service. La sévérité du CVSS est de 7,5, ce qui indique un risque élevé.
La vulnérabilité est exploitée en injectant des chaînes malveillantes dans la variable url utilisée par la fonction interpolateName. Ces chaînes sont conçues pour déclencher un comportement excessif de l'expression régulière, ce qui entraîne un ReDoS. L'attaquant doit avoir la capacité de contrôler ou d'influencer la valeur de la variable url. Cela peut se produire, par exemple, via des paramètres de requête dans une URL, des données soumises par un formulaire ou même par la manipulation de fichiers de configuration. La complexité de l'attaque dépend de la capacité de l'attaquant à créer une chaîne qui maximise le temps de traitement de l'expression régulière.
Statut de l'Exploit
EPSS
1.26% (percentile 79%)
Vecteur CVSS
La solution la plus efficace consiste à mettre à jour la bibliothèque loader-utils vers une version corrigée. Les versions 1.4.2, 2.0.4 et 3.2.1 incluent la correction pour cette vulnérabilité. Nous recommandons vivement de mettre à jour vers la dernière version disponible. Si une mise à jour n'est pas immédiatement possible, des mesures d'atténuation temporaires peuvent être mises en œuvre, telles que la validation et la désinfection de l'entrée de la variable url avant de la transmettre à la fonction interpolateName. Cependant, ces mesures sont moins sécurisées qu'une mise à jour complète et ne doivent être considérées que comme une solution de contournement temporaire. Surveiller les performances du système et les journaux d'erreurs peut aider à détecter les attaques ReDoS potentielles.
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto se puede hacer utilizando un gestor de paquetes como npm o yarn.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Une attaque ReDoS (Regular Expression Denial of Service) exploite la manière dont les expressions régulières traitent certaines entrées, consommant des ressources excessives et provoquant une déni de service.
Si vous utilisez une version de loader-utils antérieure à 1.4.2, 2.0.4 ou 3.2.1, vous êtes probablement affecté. Vérifiez les dépendances de votre projet webpack.
En tant que mesure temporaire, vous pouvez valider et désinfecter l'entrée de la variable url avant de l'utiliser dans interpolateName, mais ce n'est pas une solution complète.
Il existe des outils d'analyse statique qui peuvent aider à identifier les vulnérabilités ReDoS potentielles dans les expressions régulières, mais leur efficacité peut varier.
Vous pouvez consulter le rapport de vulnérabilité dans les bases de données de sécurité telles que CVE (Common Vulnerabilities and Exposures) et la documentation de webpack et loader-utils.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.