path-to-regexp में ReDoS है
प्लेटफ़ॉर्म
nodejs
कॉम्पोनेन्ट
path-to-regexp
ठीक किया गया
0.1.12
### प्रभाव बैकट्रैकिंग के लिए असुरक्षित रेगुलर एक्सप्रेशन `path-to-regexp` के 0.1.12 से पहले के संस्करणों में उत्पन्न किया जा सकता है, जिसकी मूल रूप से CVE-2024-45296 में सूचना दी गई थी। ### पैच 0.1.12 में अपग्रेड करें। ### समाधान एक ही पाथ सेगमेंट के भीतर दो पैरामीटर का उपयोग करने से बचें, जब सेपरेटर `.` नहीं है (उदाहरण के लिए `/:a-:b` नहीं)। वैकल्पिक रूप से, आप दोनों पैरामीटर के लिए उपयोग किए गए रेगएक्स को परिभाषित कर सकते हैं और सुनिश्चित कर सकते हैं कि वे बैकट्रैकिंग की अनुमति देने के लिए ओवरलैप नहीं करते हैं। ### संदर्भ - https://github.com/advisories/GHSA-9wv6-86v2-598j - https://blakeembrey.com/posts/2024-09-web-redos/
कैसे ठीक करें
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
अपनी निर्भरताओं की स्वचालित निगरानी करें
जब नई कमज़ोरियाँ आपके प्रोजेक्ट को प्रभावित करें तो अलर्ट पाएं।
मुफ़्त शुरू करें