Plataforma
nodejs
Componente
nth-check
Corrigido em
2.0.1
A vulnerabilidade CVE-2021-3803 afeta a biblioteca nth-check, expondo-a a um problema de Complexidade de Expressão Regular Ineficiente. Essa falha pode levar a ataques de negação de serviço (DoS), esgotando recursos do sistema. Versões afetadas incluem aquelas menores ou iguais a 2.0.1. A correção foi disponibilizada na versão 2.0.1.
Um atacante pode explorar essa vulnerabilidade fornecendo uma entrada maliciosa que força a biblioteca nth-check a processar uma expressão regular excessivamente complexa. Isso resulta em um consumo desproporcional de recursos da CPU e memória, potencialmente levando à indisponibilidade do serviço. O impacto pode se estender a aplicações Node.js que dependem de nth-check para validação de dados, interrompendo a funcionalidade e afetando a disponibilidade do sistema. Embora não haja acesso direto a dados, a negação de serviço pode ter um impacto significativo na operação normal.
A vulnerabilidade foi divulgada publicamente em 17 de setembro de 2021. Não há evidências de exploração ativa em campanhas direcionadas. A vulnerabilidade não está listada no KEV da CISA. A probabilidade de exploração é considerada baixa devido à necessidade de conhecimento técnico para criar uma entrada maliciosa eficaz.
Status do Exploit
EPSS
0.13% (percentil 33%)
Vetor CVSS
A mitigação primária para CVE-2021-3803 é atualizar a biblioteca nth-check para a versão 2.0.1 ou superior. Se a atualização imediata não for possível, considere implementar medidas de proteção, como limitar o tamanho das entradas processadas por nth-check ou usar expressões regulares mais simples. Monitore o uso de recursos do sistema para detectar possíveis ataques de DoS. Não há soluções de WAF ou regras de proxy que possam mitigar diretamente essa vulnerabilidade, a atualização da biblioteca é essencial.
Atualize a dependência `nth-check` para a versão 2.0.1 ou superior. Isso resolverá a vulnerabilidade de complexidade ineficiente da expressão regular. Execute `npm install nth-check@latest` ou `yarn upgrade nth-check@latest` para atualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-3803 is a denial-of-service vulnerability in nth-check versions up to 2.0.1, caused by an inefficient regular expression. A crafted input can trigger resource exhaustion, leading to system instability.
You are affected if you are using nth-check version 2.0.1 or earlier. Check your installed version using nth-check --version.
Upgrade to version 2.0.1 or later of nth-check. If immediate upgrade isn't possible, implement upstream input validation to limit input complexity.
There is currently no evidence of active exploitation campaigns targeting CVE-2021-3803, but it remains a potential risk.
Refer to the nth-check project's repository or website for the official advisory and release notes related to CVE-2021-3803.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.