प्लेटफ़ॉर्म
nodejs
घटक
loader-utils
में ठीक किया गया
2.5.4
CVE-2022-37599, वेबपैक loader-utils में एक रेगुलर एक्सप्रेशन डिनायल ऑफ़ सर्विस (ReDoS) भेद्यता है। एक दुर्भावनापूर्ण स्ट्रिंग सिस्टम को क्रैश कर सकती है। यह भेद्यता संस्करण 1.4.2, 2.0.4 और 3.2.1 में ठीक की गई है।
CVE-2022-37599 loader-utils के interpolateName फंक्शन में एक गंभीर ReDoS (Regular Expression Denial of Service) भेद्यता है। हमलावर resourcePath वेरिएबल के माध्यम से एक विशेष रूप से तैयार की गई दुर्भावनापूर्ण स्ट्रिंग भेज सकता है। जब सिस्टम इस स्ट्रिंग को प्रोसेस करने की कोशिश करता है, तो रेगुलर एक्सप्रेशन इंजन एक अनंत लूप या अत्यधिक गणना चक्र में फंस जाता है, जिससे CPU का उपयोग 100% तक पहुंच जाता है। इसका सीधा परिणाम यह होता है कि वेबपैक बिल्ड प्रक्रिया या संबंधित सर्वर पूरी तरह से हैंग हो सकता है या क्रैश हो सकता है। इसका ब्लास्ट रेडियस उन सभी डेवलपमेंट पाइपलाइन्स और CI/CD सिस्टम्स तक फैला है जो प्रभावित loader-utils वर्ज़न का उपयोग कर रहे हैं। यदि कोई बाहरी इनपुट इस फंक्शन तक पहुँचता है, तो हमलावर पूरी सर्विस को डाउन कर सकता है, जिससे एप्लिकेशन की उपलब्धता समाप्त हो जाती है और अन्य वैध यूज़र्स के लिए सिस्टम अनुपलब्ध हो जाता है।
वर्तमान में, CVE-2022-37599 के लिए कोई सार्वजनिक शोषण रिपोर्ट (KEV) उपलब्ध नहीं है, जिसका अर्थ है कि इसका व्यापक स्तर पर सक्रिय उपयोग नहीं देखा गया है। हालांकि, ReDoS हमले तकनीकी रूप से सरल होते हैं और एक बार जब पैटर्न सार्वजनिक हो जाता है, तो हमलावर आसानी से POC (Proof of Concept) बना सकते हैं। चूंकि यह सीधे सिस्टम की उपलब्धता (Availability) को प्रभावित करता है, इसलिए इसे HIGH गंभीरता (CVSS 7.5) दी गई है। हालांकि तत्काल खतरा कम है, लेकिन भविष्य के हमलों से बचने के लिए इसे प्राथमिकता के आधार पर पैच करना आवश्यक है।
एक्सप्लॉइट स्थिति
EPSS
4.00% (88% शतमक)
CVSS वेक्टर
इस भेद्यता को ठीक करने का सबसे प्रभावी तरीका loader-utils को अपडेट करना है। उपयोगकर्ताओं को तुरंत अपने प्रोजेक्ट में loader-utils को वर्ज़न 1.4.2, 2.0.4 या 3.2.1 पर अपग्रेड करना चाहिए, क्योंकि इन वर्ज़न्स में सुरक्षा पैच जारी किए गए हैं। यदि आप npm का उपयोग कर रहे हैं, तो npm install loader-utils@latest कमांड चलाएं। अपग्रेड के बाद, यह सत्यापित करने के लिए कि भेद्यता दूर हो गई है, package-lock.json या yarn.lock फाइल की जांच करें ताकि यह सुनिश्चित हो सके कि कोई पुराना वर्ज़न अभी भी डिपेंडेंसी ट्री में मौजूद नहीं है। यदि तत्काल अपग्रेड संभव नहीं है, तो इनपुट स्ट्रिंग्स को सैनिटाइज करने के लिए सख्त वैलिडेशन लागू करें ताकि असामान्य रूप से लंबी या जटिल स्ट्रिंग्स interpolateName फंक्शन तक न पहुँचें।
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto corregirá la expresión regular vulnerable en la función interpolateName, previniendo ataques que podrían causar un consumo excesivo de recursos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह loader-utils में एक ReDoS भेद्यता है जो सिस्टम को क्रैश कर सकती है या प्रोसेसिंग समय को अत्यधिक बढ़ा सकती है।
यदि आप loader-utils के वर्ज़न 1.4.2, 2.0.4 या 3.2.1 से पुराने वर्ज़न का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
loader-utils को वर्ज़न 1.4.2, 2.0.4 या 3.2.1 पर अपग्रेड करके इसे ठीक किया जा सकता है।
नहीं, वर्तमान में इस भेद्यता के लिए कोई सार्वजनिक शोषण रिपोर्ट उपलब्ध नहीं है।
अधिक जानकारी के लिए NVD या आधिकारिक वेंडर एडवाइजरी देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।