Platform
nodejs
Component
loader-utils
Opgelost in
2.5.4
CVE-2022-37599 is een Denial of Service (DoS) kwetsbaarheid in de interpolateName functie van webpack loader-utils. Een kwaadaardige string kan crafted requests versturen die een systeemcrash veroorzaken of onevenredig veel tijd vergen om te verwerken. Deze kwetsbaarheid treft versies van loader-utils vóór 1.4.2, 2.0.4 en 3.2.1. De kwetsbaarheid is verholpen in versie 1.4.2.
CVE-2022-37599, een ReDoS (Regular Expression Denial of Service) kwetsbaarheid in loader-utils, kan leiden tot een significante verstoring van Webpack-gebaseerde projecten. De kwetsbaarheid zit in de interpolateName functie, specifiek in de verwerking van de resourcePath variabele. Een aanvaller kan een kwaadwillig gevormde string in de resourcePath invoegen, die vervolgens door de reguliere expressie in interpolateName.js wordt verwerkt. Deze string kan zo geconstrueerd worden dat de reguliere expressie een disproportioneel lange tijd nodig heeft om te verwerken, of zelfs de applicatie doet crashen. Dit kan resulteren in een Denial of Service (DoS) aanval, waarbij de build-processen van Webpack worden onderbroken en de beschikbaarheid van de applicatie wordt aangetast. De impact is het grootst in omgevingen waar Webpack wordt gebruikt voor het bundelen van assets, zoals front-end applicaties of Node.js projecten die Webpack gebruiken voor asset management. De ernst van de impact hangt af van de kritieke aard van de Webpack builds en de afhankelijkheid van de applicatie van deze builds. Hoewel de kwetsbaarheid geen directe toegang tot data mogelijk maakt, kan de verstoring van de build-processen indirect leiden tot dataverlies of -corruptie als gevolg van onvolledige builds of handmatige herstelacties.
Op dit moment zijn er geen publiekelijk beschikbare exploitatie rapporten voor CVE-2022-37599 bekend. Dit betekent dat er geen open-source Proof-of-Concept (POC) code is gepubliceerd die de kwetsbaarheid demonstreert. Echter, de aard van een ReDoS kwetsbaarheid maakt het potentieel voor exploitatie aanwezig, aangezien het relatief eenvoudig is om reguliere expressies te manipuleren om een DoS aanval te veroorzaken. De afwezigheid van publieke exploits betekent niet dat de kwetsbaarheid geen risico vormt. Het is aannemelijk dat aanvallers de tijd kunnen nemen om een exploit te ontwikkelen, vooral gezien de potentiële impact op Webpack-gebaseerde projecten. Daarom is het belangrijk om de kwetsbaarheid serieus te nemen en de aanbevolen mitigatiemaatregelen te implementeren om het risico te minimaliseren. De urgentie van het patchen is hoog, gezien de potentiële impact van een DoS aanval en de mogelijkheid dat exploits in de toekomst worden gepubliceerd.
Exploit Status
EPSS
4.00% (88% percentiel)
CVSS-vector
Om CVE-2022-37599 te verhelpen, is het essentieel om de loader-utils bibliotheek te upgraden naar een versie die de kwetsbaarheid heeft verholpen. De beveiligde versies zijn 1.4.2, 2.0.4 en 3.2.1. Controleer de projectafhankelijkheden en update loader-utils naar de meest recente beveiligde versie. Indien een directe upgrade niet mogelijk is, bijvoorbeeld vanwege compatibiliteitsproblemen met andere afhankelijkheden, is het raadzaam om de invoer van de resourcePath te valideren en te sanitiseren om te voorkomen dat kwaadwillige strings worden verwerkt. Dit kan door een whitelist van toegestane karakters te implementeren of door de lengte van de resourcePath te beperken. Na de upgrade of implementatie van workarounds, is het belangrijk om de Webpack build-processen te testen om te verifiëren dat de kwetsbaarheid is verholpen en dat de applicatie correct functioneert. Test de build-processen met verschillende invoerwaarden, inclusief potentieel kwaadwillige strings, om er zeker van te zijn dat de mitigatie effectief is.
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto corregirá la expresión regular vulnerable en la función interpolateName, previniendo ataques que podrían causar un consumo excesivo de recursos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2022-37599 is a Regular Expression Denial of Service (ReDoS) vulnerability in webpack's loader-utils library that can cause system crashes or performance degradation.
You are affected if you are using a version of loader-utils prior to 1.4.2, 2.0.4, or 3.2.1.
Upgrade your loader-utils dependency to version 1.4.2 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or Proof-of-Concept code for this vulnerability.
Refer to the National Vulnerability Database (NVD) entry for more details: https://nvd.nist.gov/vuln/detail/CVE-2022-37599
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.