प्लेटफ़ॉर्म
nodejs
घटक
is
में ठीक किया गया
0.9.1
CVE-2020-26302, is.js लाइब्रेरी के 0.9.0 और उससे पहले के संस्करणों में एक Denial of Service (DoS) भेद्यता है। यह भेद्यता Regular Expression Denial of Service (ReDoS) के कारण होती है, जहाँ एक दुर्भावनापूर्ण स्ट्रिंग URL सत्यापन के दौरान regex को अनिश्चित काल तक लूप करने का कारण बन सकती है, जिससे सेवा बाधित हो सकती है। यह समस्या संस्करण 0.9.1 में ठीक की गई है।
CVE-2020-26302 सामान्य उद्देश्य जाँच लाइब्रेरी is.js को प्रभावित करता है। संस्करण 0.9.0 और पहले के संस्करणों में रेगुलर एक्सप्रेशन डिनायल ऑफ़ सर्विस (ReDoS) की कमजोरियाँ शामिल हैं, जो URL को मान्य करने के लिए उपयोग किए गए अक्षम रेगुलर एक्सप्रेशन के कारण होती हैं। यह रेगुलर एक्सप्रेशन एक gist से कॉपी किया गया है और दुर्भावनापूर्ण स्ट्रिंग को संसाधित करते समय यह अनंत लूप में प्रवेश कर सकता है, जिससे सर्वर संसाधनों का अत्यधिक उपयोग होता है और संभावित रूप से सेवा बाधित होती है। इस भेद्यता को CVSS पैमाने पर 7.5 के रूप में रेट किया गया है, जो मध्यम जोखिम का संकेत देता है। is.js से आधिकारिक पैच की कमी स्थिति को बढ़ाती है, जिसके लिए वैकल्पिक शमन रणनीतियों की आवश्यकता होती है।
CVE-2020-26302 का शोषण करने में is.js का उपयोग करने वाले एप्लिकेशन को विशेष रूप से तैयार किए गए URL को भेजना शामिल है। इस URL में एक स्ट्रिंग होती है जो URL सत्यापन रेगुलर एक्सप्रेशन में अनंत लूप को ट्रिगर करती है। हमलावर को इस भेद्यता का शोषण करने के लिए प्रमाणीकरण की आवश्यकता नहीं होती है, क्योंकि यह लाइब्रेरी के सत्यापन तर्क को प्रभावित करता है। प्रभाव सर्वर लोड और दुर्भावनापूर्ण स्ट्रिंग की जटिलता के आधार पर सर्वर प्रदर्शन में गिरावट से लेकर पूर्ण सेवा व्यवधान तक भिन्न हो सकता है। बाहरी स्रोतों से बड़ी मात्रा में URL को संसाधित करने वाले वेब अनुप्रयोगों में यह भेद्यता विशेष रूप से चिंताजनक है।
Applications built using is.js, particularly those that handle user-supplied URLs without proper validation, are at risk. Node.js projects relying on this library are especially vulnerable. Shared hosting environments where multiple applications share the same server resources could experience broader impact from a successful attack.
• nodejs: Monitor CPU usage spikes when validating URLs. Use ps or top to identify processes consuming excessive CPU.
ps aux | grep is.js• generic web: Examine access logs for unusual patterns of URL requests. Look for URLs containing complex or unusual characters.
grep 'complex_url_pattern' /var/log/apache2/access.logdiscovery
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.27% (51% शतमक)
CVSS वेक्टर
CVE-2020-26302 के लिए is.js से कोई आधिकारिक पैच नहीं होने के कारण, प्राथमिक शमन में 0.9.1 से पहले के संस्करण में अपग्रेड करना या यदि संभव हो तो is.js के उपयोग को पूरी तरह से हटाना शामिल है। यदि अपग्रेड संभव नहीं है, तो is.js को URL पास करने से पहले URL को मान्य करने के लिए एक मजबूत इनपुट फ़िल्टर लागू करने की सिफारिश की जाती है। इस फ़िल्टर को किसी भी URL को अस्वीकार करना चाहिए जिसमें संदिग्ध पैटर्न या असामान्य वर्ण शामिल हैं। इसके अतिरिक्त, रेगुलर एक्सप्रेशन के निष्पादन समय को सीमित करने से ReDoS हमलों को रोकने में मदद मिल सकती है, हालांकि इससे लाइब्रेरी की कार्यक्षमता प्रभावित हो सकती है। सर्वर के CPU और मेमोरी उपयोग की निगरानी संभावित ReDoS हमलों का पता लगाने के लिए महत्वपूर्ण है।
Este paquete contiene una vulnerabilidad ReDoS. No existe una versión corregida. Se recomienda evaluar alternativas a la librería is.js o implementar validaciones adicionales para las URLs antes de usar la función vulnerable.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ReDoS (Regular Expression Denial of Service) एक प्रकार का हमला है जो सेवा से इनकार करने का कारण बनने के लिए रेगुलर एक्सप्रेशन की अक्षमता का फायदा उठाता है।
यह भेद्यता एक हमलावर को वेब एप्लिकेशन की सेवा को बाधित करने की अनुमति दे सकती है, जिससे यह अत्यधिक संसाधनों का उपभोग करता है।
नहीं, is.js ने इस भेद्यता के लिए कोई आधिकारिक समाधान जारी नहीं किया है।
is.js को URL पास करने से पहले URL को मान्य करने के लिए एक मजबूत इनपुट फ़िल्टर लागू करें और रेगुलर एक्सप्रेशन के निष्पादन समय को सीमित करें।
सर्वर के CPU और मेमोरी उपयोग की निगरानी करें। अचानक और निरंतर वृद्धि ReDoS हमले का संकेत दे सकती है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।