semver-regex नियमित अभिव्यक्ति अस्वीकार सेवा (ReDoS)

यह भेद्यता हमलावरों को semver-regex पैकेज का उपयोग करने वाले Node.js अनुप्रयोगों पर Denial of Service (DoS) हमला करने की अनुमति देती है। हमलावर विशेष रूप से तैयार किए गए इनपुट प्रदान करके, नियमित अभिव्यक्ति इंजन को अत्यधिक जटिल गणना करने के लिए मजबूर कर सकते हैं, जिससे CPU उपयोग बढ़ जाता है और सिस्टम अस्थिर हो सकता है। इससे एप्लिकेशन क्रैश हो सकता है या अनुपलब्ध हो सकता है, जिससे उपयोगकर्ताओं और सेवाओं को महत्वपूर्ण व्यवधान हो सकता है। इस भेद्यता का उपयोग अन्य हमलों को लॉन्च करने के लिए भी किया जा सकता है, जैसे कि डेटा चोरी या सिस्टम समझौता।

Applications and services built on Node.js that utilize the semver-regex package for version validation or processing are at risk. This includes projects that handle user-provided version information, interact with package managers, or rely on external systems that provide version strings. Specifically, projects using older versions of npm or yarn that automatically install vulnerable dependencies are particularly susceptible.

• nodejs / server:

  npm list semver-regex

If the output shows a version prior to 3.1.3, the system is vulnerable. • nodejs / server:

  npm audit semver-regex

This command will identify vulnerable packages in your project. • nodejs / supply-chain: Examine package.json files for dependencies on semver-regex and check their versions.

1. 2021-09-20Disclosure

   disclosure

1. आरक्षित2021-09-11
2. प्रकाशित2021-09-20
3. संशोधित2026-02-04
4. EPSS अद्यतन2026-04-02

इस भेद्यता को कम करने के लिए, semver-regex पैकेज को 3.1.3 या बाद के संस्करण में अपग्रेड करने की सिफारिश की जाती है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप इनपुट को मान्य करने और नियमित अभिव्यक्ति के जटिलता को कम करने के लिए WAF (वेब एप्लिकेशन फ़ायरवॉल) या प्रॉक्सी नियमों का उपयोग कर सकते हैं। इसके अतिरिक्त, आप अपने Node.js एप्लिकेशन में संसाधन सीमाओं को लागू कर सकते हैं ताकि किसी भी एकल अनुरोध द्वारा उपयोग किए जा सकने वाले CPU और मेमोरी की मात्रा को सीमित किया जा सके।

अंतिम अपडेट

4.0.548 महीने पहले