प्लेटफ़ॉर्म
nodejs
घटक
loader-utils
में ठीक किया गया
2.5.4
CVE-2022-37603, वेबपैक loader-utils में एक रेगुलर एक्सप्रेशन डिनायल ऑफ़ सर्विस (ReDoS) भेद्यता है। एक दुर्भावनापूर्ण स्ट्रिंग सिस्टम को क्रैश कर सकती है या प्रसंस्करण में अधिक समय ले सकती है। यह भेद्यता loader-utils के संस्करण 2.0.0 को प्रभावित करती है। संस्करण 1.4.2, 2.0.4 और 3.2.1 में ठीक किया गया।
CVE-2022-37603 webpack द्वारा उपयोग किए जाने वाले loader-utils लाइब्रेरी को प्रभावित करता है, विशेष रूप से interpolateName.js में interpolateName फ़ंक्शन को प्रभावित करता है। यह भेद्यता एक नियमित अभिव्यक्ति से इनकार सेवा (ReDoS) हमला है। एक हमलावर url चर के माध्यम से सावधानीपूर्वक तैयार किए गए अनुरोधों को दुर्भावनापूर्ण स्ट्रिंग के साथ भेज सकता है। ये स्ट्रिंग जब नियमित अभिव्यक्ति द्वारा संसाधित की जाती हैं, तो वे सिस्टम संसाधनों का असमान अनुपात खपत कर सकती हैं, जिससे क्रैश या महत्वपूर्ण धीमापन हो सकता है। webpack का उपयोग जटिल वेब अनुप्रयोगों के निर्माण के लिए किए जाने वाले वातावरण में यह जोखिम विशेष रूप से अधिक है, क्योंकि एक सफल हमला निर्माण प्रक्रिया को बाधित कर सकता है और सेवा की उपलब्धता को प्रभावित कर सकता है। CVSS गंभीरता स्कोर 7.5 है, जो उच्च जोखिम दर्शाता है।
यह भेद्यता interpolateName फ़ंक्शन द्वारा उपयोग किए जाने वाले url चर में दुर्भावनापूर्ण स्ट्रिंग इंजेक्ट करके शोषण किया जाता है। इन स्ट्रिंग को नियमित अभिव्यक्ति के अत्यधिक व्यवहार को ट्रिगर करने के लिए डिज़ाइन किया गया है, जिससे ReDoS होता है। हमलावर को url चर के मान को नियंत्रित या प्रभावित करने में सक्षम होना चाहिए। यह URL में क्वेरी पैरामीटर, फॉर्म द्वारा सबमिट किए गए डेटा या कॉन्फ़िगरेशन फ़ाइलों के हेरफेर के माध्यम से हो सकता है। हमले की जटिलता हमलावर की नियमित अभिव्यक्ति प्रसंस्करण समय को अधिकतम करने वाली स्ट्रिंग बनाने की क्षमता पर निर्भर करती है।
एक्सप्लॉइट स्थिति
EPSS
1.26% (79% शतमक)
CVSS वेक्टर
सबसे प्रभावी समाधान loader-utils लाइब्रेरी को पैच किए गए संस्करण में अपडेट करना है। संस्करण 1.4.2, 2.0.4 और 3.2.1 में इस भेद्यता के लिए फिक्स शामिल हैं। हम नवीनतम उपलब्ध संस्करण में अपडेट करने की दृढ़ता से अनुशंसा करते हैं। यदि तत्काल अपडेट संभव नहीं है, तो अस्थायी शमन उपायों को लागू किया जा सकता है, जैसे कि interpolateName फ़ंक्शन को पास करने से पहले url चर के इनपुट को मान्य और सैनिटाइज़ करना। हालांकि, ये उपाय पूर्ण अपडेट की तुलना में कम सुरक्षित हैं और केवल एक अस्थायी वर्कअराउंड के रूप में माने जाने चाहिए। सिस्टम प्रदर्शन और त्रुटि लॉग की निगरानी संभावित ReDoS हमलों का पता लगाने में मदद कर सकती है।
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto se puede hacer utilizando un gestor de paquetes como npm o yarn.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
एक ReDoS (Regular Expression Denial of Service) हमला नियमित अभिव्यक्तियों द्वारा विशिष्ट इनपुट को संसाधित करने के तरीके का लाभ उठाता है, जिससे अत्यधिक संसाधन खपत होती है और इनकार सेवा होती है।
यदि आप loader-utils के 1.4.2, 2.0.4 या 3.2.1 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप शायद प्रभावित हैं। अपने webpack प्रोजेक्ट की निर्भरता की जांच करें।
एक अस्थायी उपाय के रूप में, आप interpolateName में उपयोग करने से पहले url चर के इनपुट को मान्य और सैनिटाइज़ कर सकते हैं, लेकिन यह संपूर्ण समाधान नहीं है।
ऐसे स्थिर विश्लेषण उपकरण हैं जो नियमित अभिव्यक्तियों में संभावित ReDoS कमजोरियों की पहचान करने में मदद कर सकते हैं, लेकिन उनकी प्रभावशीलता भिन्न हो सकती है।
आप CVE (Common Vulnerabilities and Exposures) जैसे सुरक्षा डेटाबेस में भेद्यता रिपोर्ट देख सकते हैं और webpack और loader-utils दस्तावेज़ में अधिक जानकारी पा सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।