प्लेटफ़ॉर्म
nodejs
घटक
braces
में ठीक किया गया
3.0.3
3.0.3
braces NPM पैकेज में CVE-2024-4068 एक मेमोरी एग्जॉशन भेद्यता है। दुर्भावनापूर्ण इनपुट भेजने पर, पार्सिंग एक लूप में प्रवेश कर सकती है, जिससे प्रोग्राम लगातार मेमोरी आवंटित करता है और अंततः क्रैश हो जाता है। यह भेद्यता braces के पुराने संस्करणों को प्रभावित करती है। संस्करण 3.0.3 में इस समस्या का समाधान किया गया है।
CVE-2024-4068 npm पैकेज braces में, संसाधित किए जा सकने वाले वर्णों की संख्या पर सीमा की कमी के कारण मेमोरी की कमी हो सकती है। एक दुर्भावनापूर्ण हमलावर 'असंतुलित कोष्ठक' के साथ इनपुट भेजकर इस भेद्यता का फायदा उठा सकता है। इससे पार्सिंग कोड (lib/parse.js) में एक अनंत लूप ट्रिगर होगा, जिसके परिणामस्वरूप मेमोरी लगातार आवंटित होगी लेकिन जारी नहीं की जाएगी। अंततः, JavaScript ढेर सीमा तक पहुँच जाएगी, जिससे एप्लिकेशन क्रैश हो जाएगा। यह भेद्यता उन अनुप्रयोगों के लिए विशेष रूप से चिंताजनक है जो उपयोगकर्ता द्वारा प्रदान किए गए इनपुट को संसाधित करते हैं, क्योंकि एक हमलावर आसानी से एक दुर्भावनापूर्ण इनपुट बना सकता है जिससे सेवा से इनकार हो सकता है या सिस्टम सुरक्षा से समझौता किया जा सकता है।
इस भेद्यता का फायदा उठाने के लिए, एक हमलावर को braces पैकेज को प्रदान किए गए इनपुट को नियंत्रित करने में सक्षम होना चाहिए। यह वेब अनुप्रयोगों में हो सकता है जो उपयोगकर्ता इनपुट को संसाधित करते हैं, या किसी अन्य परिदृश्य में जहां braces पैकेज का उपयोग फ़ाइल पैटर्न या स्ट्रिंग को पार्स करने के लिए किया जाता है। एक हमलावर खोज स्ट्रिंग, फ़ाइल नाम या पैकेज को पारित किए गए किसी अन्य डेटा में असंतुलित कोष्ठक इंजेक्ट कर सकता है। शोषण में आसानी के कारण, यह भेद्यता व्यापक रूप से उपयोग किए जाने वाले अनुप्रयोगों के लिए एक महत्वपूर्ण चिंता का विषय है।
Applications built with Node.js that directly or indirectly depend on the braces package, particularly those handling user-supplied input without proper validation, are at risk. This includes web applications, command-line tools, and any other Node.js-based software utilizing the braces package for string manipulation or pattern matching.
• nodejs / server:
npm list braces• nodejs / server:
npm audit• nodejs / server: Check application logs for errors related to memory allocation or heap exhaustion. • nodejs / server: Monitor process resource usage (CPU, memory) for sudden spikes indicative of memory exhaustion.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.22% (45% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान braces पैकेज को संस्करण 3.0.3 या उच्चतर में अपडेट करना है। इस संस्करण में एक फिक्स शामिल है जो पार्सर द्वारा आवंटित की जा सकने वाली मेमोरी की मात्रा को सीमित करता है, जिससे अनंत लूप और मेमोरी की कमी को रोका जा सकता है। यदि तत्काल अपडेट संभव नहीं है, तो braces पैकेज को पारित किए गए इनपुट की अधिकतम लंबाई को सीमित करके एक अस्थायी शमन लागू किया जा सकता है। सिस्टम पर शोषण की संभावना और संभावित प्रभाव निर्धारित करने के लिए जोखिम मूल्यांकन किया जाना चाहिए। इसके अतिरिक्त, एप्लिकेशन की मेमोरी उपयोग की निगरानी संभावित हमलों का पता लगाने और कम करने में मदद कर सकती है।
Actualice el paquete `braces` a la versión 3.0.3 o superior. Esto se puede hacer ejecutando `npm install braces@latest` o `yarn upgrade braces@latest` en su proyecto. Asegúrese de verificar que la actualización no cause conflictos con otras dependencias.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
यह एक स्ट्रिंग को संदर्भित करता है जिसमें बंद कोष्ठकों की तुलना में अधिक खुले कोष्ठक होते हैं, या इसके विपरीत। उदाहरण के लिए, '{[()]' या '()[]'। braces पैकेज का पार्सर इन मामलों को सही ढंग से नहीं संभालता है, जिससे अनंत लूप होता है।
यदि आपका एप्लिकेशन 3.0.3 से कम संस्करण में braces पैकेज का उपयोग करता है, तो यह कमजोर है। आप अपने टर्मिनल में npm list braces कमांड का उपयोग करके पैकेज संस्करण की जांच कर सकते हैं।
एक अस्थायी शमन के रूप में, braces पैकेज को पारित किए गए इनपुट की अधिकतम लंबाई को सीमित करें। यह मेमोरी की कमी को रोकने में मदद कर सकता है, लेकिन यह एक पूर्ण समाधान नहीं है।
हाँ, सॉफ्टवेयर कंपोजिशन एनालिसिस (SAST) और भेद्यता प्रबंधन उपकरण हैं जो आपके कोड में इस भेद्यता का पता लगा सकते हैं।
यह भेद्यता एप्लिकेशन की मेमोरी को समाप्त करके सेवा से इनकार (DoS) का कारण बन सकती है। अधिक गंभीर मामलों में, यह हमलावर को सिस्टम पर दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति दे सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।