Platform
nodejs
Component
uglify-js
Opgelost in
2.6.0
CVE-2015-8858 beschrijft een Denial of Service (DoS) kwetsbaarheid in uglify-js, een JavaScript minifier. Deze kwetsbaarheid treedt op wanneer malicieus ontworpen invoer wordt aangeboden aan de parse() methode, wat resulteert in een reguliere expressie DoS. De kwetsbaarheid beïnvloedt versies van uglify-js vóór 2.6.0 en kan leiden tot prestatieproblemen of zelfs een crash van de applicatie. Een update naar versie 2.6.0 of hoger is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2015-8858 kan leiden tot een Denial of Service (DoS) aanval op Node.js applicaties die uglify-js gebruiken. De aanval maakt gebruik van een reguliere expressie die overmatig rekenkracht vereist, waardoor de applicatie onbereikbaar wordt voor legitieme gebruikers. De ernst van de impact hangt af van de kritikaliteit van de applicatie en de beschikbaarheid van resources. In het ergste geval kan een DoS-aanval de hele applicatie platleggen, wat resulteert in downtime en potentiële dataverlies. De proof-of-concept demonstreert een significante toename in verwerkingstijd bij langere invoer, wat de DoS-potentie aantoont.
Deze kwetsbaarheid is publiekelijk bekend en er is een proof-of-concept beschikbaar. Er zijn geen meldingen van actieve exploitatie in de wildernis op het moment van schrijven. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus. De publicatie van de CVE vond plaats op 24 oktober 2017.
Node.js developers and DevOps teams using uglify-js in their projects are at risk. Specifically, projects using older versions of uglify-js (prior to 2.6.0) and those that do not have robust input validation mechanisms are particularly vulnerable. Applications that rely on uglify-js for minifying JavaScript code in production environments are also at increased risk.
• nodejs / server:
ps aux | grep uglify-js | grep -v grep | awk '{print $2}' | xargs -n 1 pmap -x | grep -q 'regex' # Check for excessive regex usage• nodejs / server:
journalctl -u nodejs | grep -i 'uglify-js' | grep -i 'error' # Look for errors related to uglify-js• generic web:
Inspect Node.js application logs for unusual CPU spikes or memory usage correlated with uglify-js processing.
discovery
disclosure
patch
Exploit Status
EPSS
0.90% (76% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2015-8858 is het upgraden van uglify-js naar versie 2.6.0 of hoger. Deze versie bevat een correctie voor de reguliere expressie DoS kwetsbaarheid. Indien een directe upgrade niet mogelijk is, kan een tijdelijke oplossing bestaan uit het valideren en saneren van invoer die aan de parse() methode wordt aangeboden. Dit kan door het beperken van de lengte van de invoer of het filteren van potentieel schadelijke karakters. Het implementeren van een Web Application Firewall (WAF) kan ook helpen om kwaadaardige verzoeken te blokkeren. Controleer na de upgrade of de applicatie correct functioneert en geen onverwachte problemen vertoont.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2015-8858 is a Denial of Service vulnerability in the uglify-js Node.js package, allowing attackers to cause performance degradation by exploiting a flawed regular expression in the parse() method.
You are affected if you are using a version of uglify-js prior to 2.6.0. Check your project dependencies and update if necessary.
Upgrade to version 2.6.0 or later of uglify-js. Consider implementing input validation as an additional precaution.
While no active exploitation campaigns have been publicly reported, the availability of a proof-of-concept makes it potentially exploitable.
Refer to the official npm advisory and the CVE record for more details: https://nvd.nist.gov/vuln/detail/CVE-2015-8858
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.