प्लेटफ़ॉर्म
nodejs
घटक
path-to-regexp
में ठीक किया गया
0.1.13
0.1.12
CVE-2024-52798, path-to-regexp लाइब्रेरी में एक नियमित अभिव्यक्ति अतिसंवेदनशील भेद्यता है, जिसके कारण बैकट्रैकिंग हो सकती है। यह भेद्यता सेवा से इनकार (DoS) का कारण बन सकती है। यह संस्करण 0.1.12 से पहले के संस्करणों को प्रभावित करता है। संस्करण 0.1.12 में इस समस्या को ठीक कर दिया गया है।
path-to-regexp में CVE-2024-52798 भेद्यता उन नियमित अभिव्यक्तियों के निर्माण के कारण है जो अत्यधिक बैकट्रैकिंग के लिए असुरक्षित हैं। यह 0.1.12 से पहले के संस्करणों को प्रभावित करता है। एक हमलावर इस भेद्यता का उपयोग सेवा से इनकार (DoS) करने के लिए कर सकता है, जिससे सिस्टम दुर्भावनापूर्ण पैटर्न से मेल खाने का प्रयास करते समय अत्यधिक CPU संसाधनों का उपभोग करने के लिए मजबूर हो जाता है। CVSS गंभीरता रेटिंग 7.5 है, जो उच्च जोखिम का संकेत देती है। यह भेद्यता मूल रिपोर्ट CVE-2024-45296 से संबंधित है, जो समान अंतर्निहित मुद्दे से संबंधित विकास या अतिरिक्त खोज का सुझाव देती है।
जब path-to-regexp एक नियमित अभिव्यक्ति उत्पन्न करता है जो अत्यधिक बैकट्रैकिंग की अनुमति देती है, तो यह भेद्यता प्रकट होती है। यह तब हो सकता है जब कई मापदंडों और जटिल विभाजकों के साथ मार्गों को परिभाषित किया जाता है। एक हमलावर सावधानीपूर्वक तैयार किए गए इनपुट प्रदान कर सकता है जो नियमित अभिव्यक्ति को कई संयोजनों का प्रयास करने के लिए मजबूर करता है, जिससे सिस्टम संसाधन समाप्त हो जाते हैं। यह उच्च भार वाले वातावरण में विशेष रूप से चिंताजनक है, जहां सेवा से इनकार प्रणाली पर महत्वपूर्ण प्रभाव डाल सकता है।
Applications built on Node.js that utilize the path-to-regexp package for URL routing or parameter parsing are at risk. This includes web applications, APIs, and microservices. Projects relying on older versions of path-to-regexp without proper input validation are particularly vulnerable.
• nodejs / server:
npm list path-to-regexp• nodejs / server:
npm audit path-to-regexp• nodejs / server:
grep -r 'path-to-regexp' ./node_modulesdisclosure
एक्सप्लॉइट स्थिति
EPSS
0.22% (44% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान path-to-regexp को संस्करण 0.1.12 में अपग्रेड करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो एक वैकल्पिक उपाय के रूप में, विभाजक बिंदु (.) नहीं होने पर एक ही पथ खंड में दो मापदंडों का उपयोग करने से बचें। उदाहरण के लिए, /:a-:b जैसे पैटर्न से बचें। वैकल्पिक रूप से, दोनों मापदंडों के लिए उपयोग किए जाने वाले नियमित अभिव्यक्ति को स्पष्ट रूप से परिभाषित करें और बैकट्रैकिंग को रोकने के लिए सुनिश्चित करें कि वे ओवरलैप नहीं करते हैं। यह शमन हमलावर द्वारा समस्या को ट्रिगर करने वाले पैटर्न को बनाने की संभावना को कम करता है।
Actualice la biblioteca path-to-regexp a la versión 0.1.12 o superior. Esto solucionará la vulnerabilidad ReDoS. Ejecute `npm install path-to-regexp@latest` o `yarn add path-to-regexp@latest` para actualizar.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
बैकट्रैकिंग वह प्रक्रिया है जिसका पालन एक नियमित अभिव्यक्ति इंजन मिलान खोजने के लिए करता है। इस मामले में, खराब तरीके से निर्मित नियमित अभिव्यक्ति बैकट्रैकिंग लूप में प्रवेश कर सकती है और सिस्टम संसाधन समाप्त होने तक कई संयोजनों का प्रयास कर सकती है।
संस्करण 0.1.12 भेद्यता को ठीक करता है, अत्यधिक बैकट्रैकिंग के लिए असुरक्षित नियमित अभिव्यक्तियों के निर्माण को रोकता है। जोखिम को कम करने का सबसे सुरक्षित तरीका अपग्रेड करना है।
यदि आप तुरंत अपग्रेड नहीं कर सकते हैं, तो एक वैकल्पिक शमन उपाय लागू करें, जो विभाजक के रूप में बिंदुओं के अलावा अन्य विभाजकों के साथ एक ही पथ खंड में दो मापदंडों का उपयोग करने से बचने के लिए है।
यदि आप path-to-regexp के 0.1.12 से पहले के संस्करण का उपयोग कर रहे हैं और कई मापदंडों और जटिल विभाजकों के साथ मार्गों का उपयोग कर रहे हैं, तो आप संभवतः कमजोर हैं।
वैकल्पिक शमन उपाय से प्रदर्शन पर थोड़ा प्रभाव पड़ सकता है, लेकिन यह भेद्यता के कारण होने वाले सेवा से इनकार से बेहतर है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।