uglify-js में नियमित अभिव्यक्ति अस्वीकार सेवा (Regular Expression Denial of Service)

यह भेद्यता हमलावर को uglify-js एप्लिकेशन को अस्वीकार सेवा (DoS) हमले से पीड़ित करने की अनुमति देती है। हमलावर parse() विधि में विशेष रूप से तैयार किए गए इनपुट भेजकर ऐसा कर सकता है, जिससे सिस्टम अत्यधिक संसाधन-गहन हो जाता है और अनुपलब्ध हो जाता है। इससे एप्लिकेशन की कार्यक्षमता बाधित हो सकती है और उपयोगकर्ताओं के लिए सेवा से वंचित किया जा सकता है। इस भेद्यता का उपयोग अन्य प्रणालियों पर हमला करने के लिए भी किया जा सकता है यदि uglify-js का उपयोग एक मध्यवर्ती चरण के रूप में किया जा रहा है।

Node.js developers and DevOps teams using uglify-js in their projects are at risk. Specifically, projects using older versions of uglify-js (prior to 2.6.0) and those that do not have robust input validation mechanisms are particularly vulnerable. Applications that rely on uglify-js for minifying JavaScript code in production environments are also at increased risk.

• nodejs / server:

  ps aux | grep uglify-js | grep -v grep | awk '{print $2}' | xargs -n 1 pmap -x | grep -q 'regex' # Check for excessive regex usage

• nodejs / server:

  journalctl -u nodejs | grep -i 'uglify-js' | grep -i 'error' # Look for errors related to uglify-js

• generic web: Inspect Node.js application logs for unusual CPU spikes or memory usage correlated with uglify-js processing.

1. 2015-00-00Discovery

   discovery

2. 2017-10-24Disclosure

   disclosure

3. 2017-10-24Patch

   patch

1. प्रकाशित2017-10-24
2. संशोधित2023-11-08
3. EPSS अद्यतन2026-04-02

CVE-2015-8858 को कम करने के लिए, uglify-js को संस्करण 2.6.0 या बाद के संस्करण में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, इनपुट को मान्य करने और parse() विधि में भेजे जाने वाले डेटा की मात्रा को सीमित करने के लिए एक वेब एप्लिकेशन फ़ायरवॉल (WAF) या प्रॉक्सी का उपयोग किया जा सकता है। इसके अतिरिक्त, इनपुट को साफ करने और संभावित रूप से हानिकारक वर्णों को हटाने के लिए इनपुट सैनिटाइजेशन तकनीकों को लागू किया जाना चाहिए।