प्लेटफ़ॉर्म
nodejs
घटक
path-to-regexp
में ठीक किया गया
0.1.13
0.1.13
CVE-2026-4867 path-to-regexp लाइब्रेरी में एक Denial of Service (DoS) भेद्यता है। यह भेद्यता तब उत्पन्न होती है जब एक खराब नियमित अभिव्यक्ति बनाई जाती है, खासकर जब किसी एकल खंड में तीन या अधिक पैरामीटर होते हैं। इससे catastrophic backtracking हो सकता है, जिससे सर्वर पर Denial of Service हो सकता है। यह भेद्यता path-to-regexp के संस्करणों को प्रभावित करती है जो 0.1.13 से कम हैं, और इसे संस्करण 0.1.13 में ठीक किया गया है।
यह भेद्यता हमलावर को path-to-regexp का उपयोग करने वाले एप्लिकेशन पर Denial of Service (DoS) हमला करने की अनुमति देती है। हमलावर विशेष रूप से तैयार किए गए अनुरोध भेजकर ऐसा कर सकता है जिनमें तीन या अधिक पैरामीटर होते हैं जो एक एकल खंड में अलग-अलग होते हैं। यह catastrophic backtracking को ट्रिगर करेगा, जिससे सर्वर संसाधनों का अत्यधिक उपयोग होगा और अंततः क्रैश हो सकता है। इस भेद्यता का उपयोग एप्लिकेशन की उपलब्धता को बाधित करने और उपयोगकर्ताओं को सेवा से वंचित करने के लिए किया जा सकता है। चूंकि path-to-regexp व्यापक रूप से Node.js अनुप्रयोगों में उपयोग किया जाता है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है।
CVE-2026-4867 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन इसकी गंभीरता और व्यापक उपयोग के कारण, यह शोषण के लिए एक आकर्षक लक्ष्य है। यह भेद्यता KEV (Known Exploited Vulnerabilities) सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन इनकी पुष्टि नहीं की जा सकी है। NVD (National Vulnerability Database) और CISA (Cybersecurity and Infrastructure Security Agency) ने इस भेद्यता के बारे में जानकारी प्रकाशित की है, जो इसकी गंभीरता को दर्शाता है।
Applications built with Node.js that utilize the path-to-regexp package for URL routing or parameter parsing are at risk. This includes web applications, APIs, and microservices that rely on this package for handling incoming requests. Projects using older versions of path-to-regexp are particularly vulnerable.
• nodejs / server:
npm list path-to-regexp• nodejs / server:
npm audit path-to-regexp• nodejs / server:
grep -r 'path-to-regexp' package.jsondisclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (15% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-4867 को कम करने का सबसे प्रभावी तरीका path-to-regexp लाइब्रेरी को संस्करण 0.1.13 या उच्चतर में अपग्रेड करना है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, आप वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग करके उन अनुरोधों को ब्लॉक कर सकते हैं जिनमें तीन या अधिक पैरामीटर वाले विशेष रूप से तैयार किए गए URL होते हैं। इसके अतिरिक्त, आप नियमित अभिव्यक्ति के इनपुट को मान्य करके और यह सुनिश्चित करके कि वे बहुत जटिल नहीं हैं, अपने एप्लिकेशन कोड में सुरक्षात्मक उपाय लागू कर सकते हैं। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता को ठीक कर दिया गया है, नियमित अनुरोधों का परीक्षण करें।
path-to-regexp लाइब्रेरी के संस्करण को 0.1.13 या उच्चतर में अपडेट (Update) करें। यदि अपग्रेड (Upgrade) करना संभव नहीं है, तो आप एक ही सेगमेंट में पहले पैरामीटर के बाद पैरामीटर के लिए एक कस्टम रेगुलर एक्सप्रेशन (Regular Expression) प्रदान कर सकते हैं। एक अन्य विकल्प URL की लंबाई को सीमित करना है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-4867 path-to-regexp लाइब्रेरी में एक Denial of Service (DoS) भेद्यता है जो तीन या अधिक पैरामीटर वाले URL के कारण catastrophic backtracking का कारण बनती है।
यदि आप path-to-regexp के संस्करण 0.1.13 से कम का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
path-to-regexp लाइब्रेरी को संस्करण 0.1.13 या उच्चतर में अपग्रेड करें।
CVE-2026-4867 को अभी तक सक्रिय रूप से शोषण करते हुए नहीं देखा गया है, लेकिन यह शोषण के लिए एक संभावित लक्ष्य है।
आप आधिकारिक सलाहकार यहां पा सकते हैं: https://github.com/pillarjs/path-to-regexp/releases/tag/v.0.1.13
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।