Plateforme
nodejs
Composant
path-to-regexp
Corrigé dans
0.1.13
0.1.13
La vulnérabilité CVE-2026-4867 est une faille de déni de service (DoS) affectant la bibliothèque path-to-regexp. Elle est due à la génération d'une expression régulière incorrecte lorsque trois ou plus de paramètres sont présents dans un segment d'URL. Cette expression régulière mal construite peut entraîner une récursion exponentielle et un blocage du serveur, rendant le service indisponible. La vulnérabilité affecte les versions de path-to-regexp antérieures à 0.1.13 et une mise à jour vers la version 0.1.13 corrige le problème.
Cette vulnérabilité DoS permet à un attaquant de provoquer un blocage du serveur en envoyant des requêtes spécialement conçues. L'attaquant peut exploiter cette faille en créant des URL contenant trois ou plus de paramètres dans un même segment, séparés par des caractères autres qu'un point. L'expression régulière mal construite générée par path-to-regexp dans ces cas provoque une récursion exponentielle, consommant rapidement les ressources du serveur (CPU et mémoire) et entraînant un déni de service. La surface d'attaque est large car cette bibliothèque est utilisée dans de nombreux frameworks et applications Node.js, ce qui augmente le potentiel de propagation de l'attaque.
La vulnérabilité CVE-2026-4867 a été rendue publique le 27 mars 2026. Il n'y a pas d'indication actuelle d'une exploitation active à grande échelle. Des preuves de concept (PoC) pourraient être développées et publiées, augmentant le risque d'exploitation. La bibliothèque path-to-regexp est largement utilisée dans les applications Node.js, ce qui signifie qu'un grand nombre de systèmes potentiels sont vulnérables.
Applications built with Node.js that utilize the path-to-regexp package for URL routing or parameter parsing are at risk. This includes web applications, APIs, and microservices that rely on this package for handling incoming requests. Projects using older versions of path-to-regexp are particularly vulnerable.
• nodejs / server:
npm list path-to-regexp• nodejs / server:
npm audit path-to-regexp• nodejs / server:
grep -r 'path-to-regexp' package.jsondisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 15%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque path-to-regexp vers la version 0.1.13 ou supérieure. Si une mise à jour immédiate n'est pas possible, une solution de contournement temporaire pourrait consister à valider et à nettoyer les URL entrantes pour empêcher l'utilisation de segments contenant trois ou plus de paramètres séparés par des caractères non-points. L'utilisation d'un pare-feu applicatif web (WAF) peut également aider à bloquer les requêtes malveillantes. Après la mise à jour, vérifiez que l'expression régulière générée pour les URL contenant plusieurs paramètres ne provoque plus de récursion exponentielle en effectuant des tests de charge.
Mettez à jour la version de la librairie path-to-regexp à la version 0.1.13 ou supérieure. Si ce n'est pas possible, vous pouvez fournir une expression régulière personnalisée pour les paramètres après le premier dans un segment unique. Une autre alternative est de limiter la longueur de l'URL.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-4867 is a Denial of Service vulnerability in the path-to-regexp Node.js package, allowing attackers to trigger catastrophic backtracking with complex URL parameters.
You are affected if you are using a version of path-to-regexp prior to 0.1.13. Check your project dependencies to determine if you are vulnerable.
Upgrade to version 0.1.13 or later of the path-to-regexp package using npm or yarn. This resolves the flawed regular expression generation.
As of now, there are no known public exploits or active campaigns targeting CVE-2026-4867, but it remains a potential risk.
Refer to the official path-to-regexp GitHub release notes for version 0.1.13: https://github.com/pillarjs/path-to-regexp/releases/tag/v.0.1.13
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.