Platform
nodejs
Component
nth-check
Opgelost in
2.0.1
CVE-2021-3803 beschrijft een kwetsbaarheid van het type Inefficiënte Regulieren Expressie Complexiteit in de nth-check bibliotheek. Deze kwetsbaarheid kan leiden tot een Denial of Service (DoS) aanval, waarbij de applicatie overbelast raakt. De kwetsbaarheid treft versies van nth-check tot en met 2.0.1. Een fix is beschikbaar in versie 2.0.1.
De kwetsbaarheid in nth-check maakt het mogelijk voor een aanvaller om een Denial of Service (DoS) aanval uit te voeren. Dit gebeurt door een speciaal ontworpen input te sturen die een extreem complexe reguliere expressie triggert. De verwerking van deze expressie vereist een onredelijke hoeveelheid resources, zoals CPU-tijd en geheugen, waardoor de applicatie onbereikbaar wordt voor legitieme gebruikers. De impact is vooral groot in omgevingen waar nth-check wordt gebruikt voor inputvalidatie of data parsing, omdat een kwaadwillende gebruiker dan de service kan platleggen. Een succesvolle exploit kan leiden tot downtime en verlies van functionaliteit.
CVE-2021-3803 is openbaar bekend en er zijn geen bekende actieve campagnes gerelateerd aan deze specifieke kwetsbaarheid. Er zijn geen publieke proof-of-concept exploits beschikbaar op het moment van schrijven. De kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV status onbekend). De publicatiedatum van de CVE is 2021-09-17.
Exploit Status
EPSS
0.13% (33% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2021-3803 is het updaten van nth-check naar versie 2.0.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan het implementeren van inputvalidatie op de applicatie zelf om te voorkomen dat complexe reguliere expressies worden geactiveerd. WAF-regels kunnen worden ingesteld om verdachte input te blokkeren. Monitor de CPU-belasting en geheugengebruik van uw applicatie om tekenen van een DoS-aanval te detecteren. Na de upgrade, bevestig de fix door een testinput te sturen die de reguliere expressie triggert en controleer of de applicatie niet meer vastloopt.
Werk de `nth-check` afhankelijkheid bij naar versie 2.0.1 of hoger. Dit zal de kwetsbaarheid van inefficiënte regulieren expressie complexiteit oplossen. Voer `npm install nth-check@latest` of `yarn upgrade nth-check@latest` uit om bij te werken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2021-3803 is a denial-of-service vulnerability in nth-check versions up to 2.0.1, caused by an inefficient regular expression. A crafted input can trigger resource exhaustion, leading to system instability.
You are affected if you are using nth-check version 2.0.1 or earlier. Check your installed version using nth-check --version.
Upgrade to version 2.0.1 or later of nth-check. If immediate upgrade isn't possible, implement upstream input validation to limit input complexity.
There is currently no evidence of active exploitation campaigns targeting CVE-2021-3803, but it remains a potential risk.
Refer to the nth-check project's repository or website for the official advisory and release notes related to CVE-2021-3803.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.