Platform
nodejs
Component
semver-regex
Opgelost in
3.1.3
4.0.1
3.1.3
De kwetsbaarheid CVE-2021-3795 betreft een Denial of Service (DoS) probleem in de semver-regex Node.js package. Deze kwetsbaarheid ontstaat door een inefficiënte reguliere expressie complexiteit, waardoor een aanvaller het systeem kan overbelasten. Aangetaste versies zijn die vóór 3.1.3. Een upgrade naar versie 3.1.3 of hoger is beschikbaar om dit probleem te verhelpen.
Een aanvaller kan deze kwetsbaarheid misbruiken door kwaadwillige semver strings naar de semver-regex package te sturen. Dit kan leiden tot een significante overbelasting van de CPU en het geheugen, waardoor het systeem onbereikbaar wordt voor legitieme gebruikers. De impact is een serviceweigering, wat kan resulteren in downtime en verstoring van de applicatie. De ernst van de impact hangt af van de kritikaliteit van de applicatie die de semver-regex package gebruikt. Een succesvolle exploitatie kan leiden tot een volledige onderbreking van de dienst.
CVE-2021-3795 werd openbaar gemaakt op 2021-09-20. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid misbruiken, maar de publicatie van een proof-of-concept (POC) is mogelijk. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de aandacht voor deze kwetsbaarheid onderstreept. De CVSS score van 7.5 (HIGH) duidt op een aanzienlijk risico.
Applications and services built on Node.js that utilize the semver-regex package for version validation or processing are at risk. This includes projects that handle user-provided version information, interact with package managers, or rely on external systems that provide version strings. Specifically, projects using older versions of npm or yarn that automatically install vulnerable dependencies are particularly susceptible.
• nodejs / server:
npm list semver-regexIf the output shows a version prior to 3.1.3, the system is vulnerable. • nodejs / server:
npm audit semver-regexThis command will identify vulnerable packages in your project.
• nodejs / supply-chain: Examine package.json files for dependencies on semver-regex and check their versions.
disclosure
Exploit Status
EPSS
0.23% (45% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2021-3795 is het upgraden van de semver-regex package naar versie 3.1.3 of hoger. Indien een directe upgrade niet mogelijk is, kan het beperken van de invoer van semver strings helpen om de impact te verminderen. Implementeer input validatie om te voorkomen dat kwaadwillige strings de reguliere expressie overbelasten. Overweeg het gebruik van een Web Application Firewall (WAF) om verdachte patronen in de semver strings te detecteren en te blokkeren. Na de upgrade, controleer de functionaliteit van de applicatie om er zeker van te zijn dat de upgrade geen onverwachte problemen veroorzaakt.
Werk de semver-regex afhankelijkheid bij naar versie 4.0.1 of hoger. Indien u versie 3.x gebruikt, werk dan bij naar versie 3.1.3 of hoger. Dit corrigeert de kwetsbaarheid van inefficiënte regulieren expressie complexiteit.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-3795 is a Denial of Service vulnerability in the semver-regex Node.js package, allowing attackers to cause excessive CPU usage with crafted version strings.
You are affected if your project uses semver-regex versions prior to 3.1.3. Check your package.json file and run npm audit semver-regex to confirm.
Upgrade the semver-regex package to version 3.1.3 or higher using npm install [email protected] or your preferred package manager.
While no confirmed active exploitation campaigns are publicly known, the ease of exploitation makes it a potential target.
Refer to the npm advisory for CVE-2021-3795: https://www.npmjs.com/advisories/1811
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.