2.5.4
CVE-2022-3517 is een kwetsbaarheid in de minimatch package, specifiek een Regular Expression Denial of Service (ReDoS). Door misbruik van de braceExpand functie met specifieke argumenten kan een Denial of Service (DoS) worden veroorzaakt. Deze kwetsbaarheid treft versies van minimatch lager dan 3.0.5. Een fix is beschikbaar in versie 3.0.5.
Er is een kwetsbaarheid geïdentificeerd in het minimatch-pakket, specifiek binnen de functie braceExpand. CVE-2022-3517 beschrijft een Regular Expression Denial of Service (ReDoS)-kwetsbaarheid die kan worden misbruikt door specifieke argumenten aan deze functie te geven. Een aanvaller zou een kwaadaardige invoer kunnen sturen die is ontworpen om de functie te dwingen een overmatig aantal systeembronnen (CPU, geheugen) te verbruiken, wat kan leiden tot instabiliteit van de applicatie of zelfs tot een volledig falen. De kwetsbaarheid heeft een CVSS-score van 7,5, wat een aanzienlijk risico aangeeft. Het is cruciaal om minimatch bij te werken naar versie 3.0.5 of hoger om dit risico te beperken. Deze kwetsbaarheid treft projecten die minimatch gebruiken voor bestandspatroonmatching, zoals build-tools, contentmanagementsystemen en andere applicaties die afhankelijk zijn van bestandspatroonuitbreiding.
De kwetsbaarheid wordt misbruikt door een zorgvuldig samengestelde invoerstring naar de functie braceExpand van minimatch te sturen. Deze string is ontworpen om een overmatig backtracking-gedrag binnen de onderliggende reguliere expressie te triggeren, wat leidt tot een onevenredig hoog verbruik van systeembronnen. De aanvaller heeft geen speciale privileges nodig om deze kwetsbaarheid te misbruiken, omdat hij de kwaadaardige invoer via een gebruikersinterface of API kan sturen. De complexiteit van de reguliere expressie maakt het moeilijk om deze te detecteren en te voorkomen zonder een specifieke fix. De kans op misbruik is groot als applicaties de gebruikersinvoer die in de functie braceExpand wordt gebruikt, niet voldoende valideren. Misbruik kan onopvallend zijn, omdat de aanval mogelijk geen zichtbare fouten genereert, maar slechts de systeemprestaties in de loop van de tijd verslechtert.
Exploit Status
EPSS
0.45% (64% percentiel)
CVSS-vector
De belangrijkste mitigatie voor CVE-2022-3517 is het bijwerken van de minimatch-bibliotheek naar versie 3.0.5 of hoger. Deze versie bevat een fix die de ReDoS-aanval voorkomt. Als een onmiddellijke update niet mogelijk is, bekijk dan de code die braceExpand gebruikt om potentiële ingangspunten voor kwaadaardige gegevens te identificeren. Er kan invoervalidatie worden geïmplementeerd om de complexiteit van patronen die aan de functie worden doorgegeven te beperken. Bovendien kan het monitoren van het gebruik van systeembronnen (CPU, geheugen) in applicaties die minimatch gebruiken helpen om lopende ReDoS-aanvallen te detecteren. Het implementeren van een Web Application Firewall (WAF) kan een extra beveiligingslaag bieden door potentieel kwaadaardige invoerpatronen te filteren. De update is de meest effectieve en aanbevolen oplossing.
Actualice el paquete minimatch a la versión 2.5.4 o superior para mitigar el riesgo de denegación de servicio por ReDoS. Puede hacerlo utilizando npm o yarn: `npm install minimatch@latest` o `yarn add minimatch@latest`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
ReDoS (Regular Expression Denial of Service) is een type DoS-aanval dat de complexiteit van reguliere expressies misbruikt om een overmatig aantal systeembronnen te verbruiken.
Niet noodzakelijkerwijs. Het treft applicaties die de functie braceExpand gebruiken en de gebruikersinvoer niet voldoende valideren.
Bekijk de code die braceExpand gebruikt en overweeg invoervalidatie te implementeren om de complexiteit van patronen te beperken.
Monitor het gebruik van systeembronnen (CPU, geheugen) in applicaties die minimatch gebruiken. Een plotselinge en aanhoudende toename van het gebruik van bronnen kan duiden op een aanval.
Er zijn statische en dynamische analyse-tools die kunnen helpen bij het identificeren van complexe en potentieel kwetsbare reguliere expressiepatronen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.