nth-checkにおいて、正規表現の複雑性に関連する脆弱性が確認されています。この脆弱性は、悪意のある正規表現入力によりサービス拒否(DoS)攻撃を引き起こす可能性があります。影響を受けるバージョンは2.0.1以下です。開発者はバージョン2.0.1へのアップデートを推奨しています。
この脆弱性は、攻撃者が特別に細工された正規表現入力をnth-checkに送信することで、過剰な計算リソースを消費させ、サービス拒否状態を引き起こす可能性があります。攻撃者は、アプリケーションの可用性を低下させ、ユーザーへのサービス提供を妨害することが可能です。正規表現の複雑性が高まるほど、DoS攻撃のリスクが高まります。この種の脆弱性は、類似の正規表現エンジンを持つ他のコンポーネントにも存在する可能性があります。
本脆弱性は、2021年9月17日に公開されました。現時点では、公開されているPoCは確認されていませんが、正規表現の複雑性に関連する脆弱性は、過去に悪用事例が報告されています。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を利用して、nth-checkを組み込んだアプリケーションに対してDoS攻撃を仕掛ける可能性があります。
エクスプロイト状況
EPSS
0.13% (33% パーセンタイル)
CVSS ベクトル
この脆弱性への対応策として、nth-checkをバージョン2.0.1にアップデートすることを強く推奨します。アップデートが困難な場合は、正規表現入力の検証を強化し、複雑すぎる正規表現の使用を避けるように構成を調整してください。また、WAF(Web Application Firewall)を導入し、悪意のある正規表現パターンを検出・ブロックするルールを設定することも有効です。正規表現のタイムアウト設定を適切に構成し、過剰な計算リソースの消費を抑制することも重要です。アップデート後、nth-checkの正常な動作を確認し、DoS攻撃が発生しないことを確認してください。
`nth-check`の依存関係をバージョン2.0.1以降にアップデートしてください。これにより、正規表現の複雑さの脆弱性が修正されます。`npm install nth-check@latest`または`yarn upgrade nth-check@latest`を実行してアップデートしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2021-3803は、nth-checkにおいて、正規表現の複雑性により発生する脆弱性です。攻撃者は、悪意のある正規表現入力を送信することで、DoS攻撃を引き起こす可能性があります。
nth-checkのバージョンが2.0.1以下を使用している場合、影響を受けます。バージョン2.0.1にアップデートすることで、この脆弱性を解消できます。
nth-checkをバージョン2.0.1にアップデートしてください。アップデートが困難な場合は、正規表現入力の検証を強化し、WAFを導入するなど、緩和策を講じてください。
現時点では、公開されているPoCは確認されていませんが、正規表現の複雑性に関連する脆弱性は、過去に悪用事例が報告されています。
nth-checkの公式アドバイザリは、開発者のGitHubリポジトリで確認できます。