プラットフォーム
nodejs
コンポーネント
loader-utils
修正版
2.5.4
CVE-2022-37603は、webpack loader-utilsのinterpolateName.jsにおける、正規表現Denial of Service (DoS)の脆弱性です。悪意を持って作成された文字列を処理することで、システムがクラッシュする可能性があります。この問題は、バージョン1.4.2で修正されています。
CVE-2022-37603 は、webpack で使用される loader-utils ライブラリに影響を与え、特に interpolateName.js 内の interpolateName 関数に影響を与えます。この脆弱性は、正規表現によるサービス拒否 (ReDoS) 攻撃です。攻撃者は、url 変数経由で慎重に作成された悪意のある文字列を含む要求を送信できます。これらの文字列は、正規表現によって処理されると、システムリソースを不均衡に消費し、クラッシュや著しい低下を引き起こす可能性があります。webpack が複雑な Web アプリケーションの構築に使用されている環境では、このリスクは特に高く、攻撃が成功すると、ビルドプロセスが中断され、サービスの可用性に影響を与える可能性があります。CVSS の深刻度は 7.5 で、高いリスクを示しています。
この脆弱性は、interpolateName 関数で使用される url 変数に悪意のある文字列を注入することによって悪用されます。これらの文字列は、正規表現の過剰な動作を引き起こし、ReDoS を引き起こすように設計されています。攻撃者は、url 変数の値を制御または影響を与える必要があります。これは、たとえば、URL のクエリパラメータ、フォームによって送信されたデータ、または構成ファイルのマニピュレーションを介して発生する可能性があります。攻撃の複雑さは、正規表現の処理時間を最大化する文字列を作成する攻撃者の能力に依存します。
エクスプロイト状況
EPSS
1.26% (79% パーセンタイル)
CVSS ベクトル
最も効果的な解決策は、loader-utils ライブラリを修正されたバージョンに更新することです。バージョン 1.4.2、2.0.4、および 3.2.1 には、この脆弱性に対する修正が含まれています。最新の利用可能なバージョンに更新することを強くお勧めします。更新がすぐに利用できない場合は、一時的な軽減策を実装できます。たとえば、interpolateName 関数に渡す前に、url 変数の入力を検証およびサニタイズします。ただし、これらの対策は完全な更新よりも安全性が低く、一時的な回避策としてのみ考慮されるべきです。システムパフォーマンスとエラーログを監視することで、潜在的な ReDoS 攻撃を検出するのに役立ちます。
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto se puede hacer utilizando un gestor de paquetes como npm o yarn.
脆弱性分析と重要アラートをメールでお届けします。
ReDoS (Regular Expression Denial of Service) 攻撃は、正規表現が特定の入力を処理する方法を利用して、過剰なリソースを消費し、サービス拒否を引き起こします。
webpack プロジェクトの依存関係を確認してください。
一時的な対策として、interpolateName で使用する前に url 変数の入力を検証およびサニタイズできますが、これは完全な解決策ではありません。
正規表現の潜在的な ReDoS 脆弱性を特定するのに役立つ静的分析ツールがありますが、その有効性は異なる場合があります。
CVE (Common Vulnerabilities and Exposures) などのセキュリティデータベースで脆弱性レポートを参照し、webpack および loader-utils のドキュメントを参照できます。