प्लेटफ़ॉर्म
nodejs
घटक
terser
में ठीक किया गया
4.8.1
5.14.2
4.8.1
CVE-2022-25858 terser पैकेज में एक रेगुलर एक्सप्रेशन डिनायल ऑफ़ सर्विस (ReDoS) भेद्यता है. असुरक्षित रेगुलर एक्सप्रेशन के उपयोग के कारण, हमलावर सेवा को बाधित कर सकते हैं. यह भेद्यता 4.8.1 से पहले के terser संस्करणों और 5.0.0 से 5.14.2 से पहले के संस्करणों को प्रभावित करती है. संस्करण 4.8.1 में इस समस्या को ठीक कर दिया गया है.
CVE-2022-25858, terser पैकेज को प्रभावित करता है, विशेष रूप से 4.8.1 से पहले के संस्करणों और 5.0.0 से 5.14.2 के बीच के संस्करणों को। यह एक नियमित अभिव्यक्ति अस्वीकार सेवा (ReDoS) भेद्यता है। एक हमलावर दुर्भावनापूर्ण इनपुट भेज सकता है जिससे terser अत्यधिक सिस्टम संसाधनों (CPU, मेमोरी) का उपभोग करता है, जिससे सिस्टम अस्थिरता या क्रैश हो सकता है। यह भेद्यता terser के भीतर नियमित अभिव्यक्तियों के असुरक्षित उपयोग के कारण होती है, जिससे दुर्भावनापूर्ण पैटर्न अक्षम तरीके से निष्पादित हो सकते हैं, जिससे अनंत लूप या अत्यधिक संसाधन खपत हो सकती है। हमले की गंभीरता सिस्टम लोड और दुर्भावनापूर्ण इनपुट की जटिलता के आधार पर भिन्न हो सकती है। इस जोखिम को कम करने के लिए पैकेज को अपडेट करना महत्वपूर्ण है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को terser द्वारा संसाधित इनपुट को नियंत्रित करने में सक्षम होना चाहिए। यह वेब अनुप्रयोगों में हो सकता है जहां उपयोगकर्ता JavaScript कोड को कम करने के लिए प्रदान कर सकते हैं, या किसी अन्य परिदृश्य में जहां terser का उपयोग उपयोगकर्ता द्वारा प्रदान किए गए डेटा को संसाधित करने के लिए किया जाता है। हमलावर एक सावधानीपूर्वक तैयार किए गए इनपुट को भेजेगा जिसमें एक दुर्भावनापूर्ण नियमित अभिव्यक्ति शामिल है। terser द्वारा इस नियमित अभिव्यक्ति का निष्पादन अत्यधिक मात्रा में संसाधनों का उपभोग करेगा, जिससे सेवा से इनकार हो जाएगा। शोषण की कठिनाई हमलावर की ReDoS हमले को ट्रिगर करने वाली नियमित अभिव्यक्ति की पहचान और निर्माण करने की क्षमता पर निर्भर करती है। terser द्वारा उपयोग की जाने वाली नियमित अभिव्यक्तियों की जटिलता इस भेद्यता के जोखिम को बढ़ाती है।
Applications and services utilizing Terser for JavaScript minification or compression are at risk. This includes web applications, build systems (e.g., webpack, Parcel), and any Node.js projects that depend on Terser directly or indirectly through other packages. Developers using older versions of Terser in production environments are particularly vulnerable.
• nodejs / server:
npm list terser• nodejs / server:
npm audit• nodejs / server: Check package.json for terser versions < 4.8.1 or between 5.0.0 and 5.14.2. • nodejs / server: Monitor CPU usage; spikes correlated with Terser processing could indicate exploitation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
3.56% (88% शतमक)
CVSS वेक्टर
CVE-2022-25858 को कम करने का समाधान terser पैकेज को संस्करण 4.8.1 या उच्चतर, या संस्करण 5.14.2 या उच्चतर में अपडेट करना है। इन संस्करणों में नियमित अभिव्यक्तियों के असुरक्षित उपयोग को संबोधित करने और ReDoS हमले को रोकने के लिए फिक्स शामिल हैं। विशेष रूप से यदि उपयोगकर्ता द्वारा नियंत्रित इनपुट के संपर्क में आने वाले एप्लिकेशन में terser का उपयोग किया जा रहा है, तो इस अपडेट को जल्द से जल्द करना उचित है। इसके अतिरिक्त, अपडेट के बाद भी इस भेद्यता का शोषण किया जा सकने वाले एप्लिकेशन के स्रोत कोड में संभावित प्रवेश बिंदुओं की पहचान करने के लिए समीक्षा करें। सिस्टम के अन्य पुस्तकालयों या घटकों के साथ संघर्ष से बचने के लिए अनुशंसित निर्भरता प्रबंधन प्रथाओं का पालन करते हुए अपडेट किया जाना चाहिए।
Actualice el paquete terser a la versión 4.8.1 o superior, o a la versión 5.14.2 o superior. Esto corrige la vulnerabilidad de Denegación de Servicio por Expresión Regular (ReDoS) causada por el uso inseguro de expresiones regulares.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
ReDoS (Regular Expression Denial of Service) एक प्रकार का हमला है जिसमें सिस्टम संसाधनों को समाप्त करने के लिए दुर्भावनापूर्ण नियमित अभिव्यक्ति का उपयोग किया जाता है।
यदि आपका एप्लिकेशन terser के एक कमजोर संस्करण का उपयोग करता है और उपयोगकर्ता द्वारा नियंत्रित इनपुट प्राप्त करता है, तो यह ReDoS हमले के प्रति संवेदनशील हो सकता है।
एक अस्थायी उपाय के रूप में, आप terser द्वारा संसाधित इनपुट के आकार को सीमित कर सकते हैं और सिस्टम संसाधन उपयोग की निगरानी कर सकते हैं।
ऐसे स्थैतिक और गतिशील विश्लेषण उपकरण हैं जो संभावित रूप से कमजोर नियमित अभिव्यक्ति पैटर्न की पहचान करने में मदद कर सकते हैं।
आप CVE प्रविष्टि में अधिक जानकारी पा सकते हैं: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25858
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।