Platform
nodejs
Component
path-to-regexp
Opgelost in
0.1.13
0.1.13
CVE-2026-4867 beschrijft een Denial of Service (DoS) kwetsbaarheid in de path-to-regexp Node.js module. Deze kwetsbaarheid ontstaat door de generatie van een slechte reguliere expressie wanneer er drie of meer parameters binnen een segment staan, gescheiden door tekens die geen punt (.) zijn. Het beïnvloedt versies van path-to-regexp tussen 0.1.12 (inclusief) en 0.1.13 (exclusief). De kwetsbaarheid is verholpen in versie 0.1.13.
Een aanvaller kan deze kwetsbaarheid misbruiken door een speciaal ontworpen URL te creëren die een reguliere expressie genereert die leidt tot catastrofaal backtracking. Dit kan resulteren in een Denial of Service (DoS) aanval, waarbij de applicatie overbelast raakt en niet meer beschikbaar is voor legitieme gebruikers. De impact is significant omdat het de beschikbaarheid van de applicatie direct aantast. De kwetsbaarheid is vergelijkbaar met situaties waarin reguliere expressies onzorgvuldig worden gebruikt, wat kan leiden tot onverwacht hoog CPU-gebruik en applicatie-crashes.
Deze kwetsbaarheid is openbaar bekend en de patch is beschikbaar. Er is geen indicatie van actieve exploitatie op dit moment. De kwetsbaarheid is opgenomen in de CISA KEV catalogus, wat de aandacht voor deze kwetsbaarheid onderstreept. Er zijn publieke proof-of-concept (POC) exploits beschikbaar, wat het risico op misbruik vergroot.
Applications built with Node.js that utilize the path-to-regexp package for URL routing or parameter parsing are at risk. This includes web applications, APIs, and microservices that rely on this package for handling incoming requests. Projects using older versions of path-to-regexp are particularly vulnerable.
• nodejs / server:
npm list path-to-regexp• nodejs / server:
npm audit path-to-regexp• nodejs / server:
grep -r 'path-to-regexp' package.jsondisclosure
Exploit Status
EPSS
0.05% (15% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar versie 0.1.13 of hoger van de path-to-regexp module. Indien een upgrade direct problemen veroorzaakt, overweeg dan een rollback naar een eerdere, veilige versie (indien beschikbaar). Als een rollback niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) helpen om kwaadwillende URL's te blokkeren. Configureer de WAF om URL's met een ongebruikelijk aantal parameters in een segment te detecteren en te blokkeren. Er zijn geen specifieke Sigma of YARA patronen bekend voor deze kwetsbaarheid, maar het monitoren van CPU-gebruik en applicatie-crashes kan indicaties opleveren van een exploit.
Actualiseer de versie van de path-to-regexp bibliotheek naar versie 0.1.13 of hoger. Indien een update niet mogelijk is, kan een aangepaste reguliere expressie worden aangeleverd voor parameters na de eerste in een enkel segment. Een andere mogelijkheid is om de lengte van de URL te beperken.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-4867 is a Denial of Service vulnerability in the path-to-regexp Node.js package, allowing attackers to trigger catastrophic backtracking with complex URL parameters.
You are affected if you are using a version of path-to-regexp prior to 0.1.13. Check your project dependencies to determine if you are vulnerable.
Upgrade to version 0.1.13 or later of the path-to-regexp package using npm or yarn. This resolves the flawed regular expression generation.
As of now, there are no known public exploits or active campaigns targeting CVE-2026-4867, but it remains a potential risk.
Refer to the official path-to-regexp GitHub release notes for version 0.1.13: https://github.com/pillarjs/path-to-regexp/releases/tag/v.0.1.13
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.