Plataforma
nodejs
Componente
terser
Corrigido em
4.8.1
5.14.2
4.8.1
A vulnerabilidade CVE-2022-25858 é uma falha de ReDoS (Regular Expression Denial of Service) encontrada no pacote Terser, utilizado em projetos Node.js. Essa falha pode levar à negação de serviço, impedindo que aplicações processem requisições de forma eficiente. Versões afetadas incluem aquelas anteriores a 4.8.1 e as versões entre 5.0.0 e 5.14.2. A correção foi disponibilizada na versão 4.8.1.
Um atacante pode explorar essa vulnerabilidade enviando entradas maliciosas que acionam expressões regulares complexas e ineficientes dentro do Terser. Isso pode levar a um consumo excessivo de recursos do servidor, como CPU e memória, resultando em uma negação de serviço (DoS). A aplicação pode se tornar lenta ou completamente indisponível para usuários legítimos. A complexidade das expressões regulares permite que um atacante cause um impacto desproporcional com um pequeno payload, tornando a exploração relativamente fácil. Embora não haja acesso direto a dados sensíveis, a indisponibilidade do serviço pode ter um impacto significativo na operação de aplicações dependentes do Terser.
A vulnerabilidade CVE-2022-25858 foi divulgada em 16 de julho de 2022. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um ataque de ReDoS torna a vulnerabilidade um alvo potencial para exploração automatizada. Verifique o repositório do Terser e fóruns de segurança para possíveis provas de conceito (PoCs) publicadas.
Applications and services utilizing Terser for JavaScript minification or compression are at risk. This includes web applications, build systems (e.g., webpack, Parcel), and any Node.js projects that depend on Terser directly or indirectly through other packages. Developers using older versions of Terser in production environments are particularly vulnerable.
• nodejs / server:
npm list terser• nodejs / server:
npm audit• nodejs / server: Check package.json for terser versions < 4.8.1 or between 5.0.0 and 5.14.2. • nodejs / server: Monitor CPU usage; spikes correlated with Terser processing could indicate exploitation.
disclosure
Status do Exploit
EPSS
3.56% (percentil 88%)
Vetor CVSS
A mitigação primária para CVE-2022-25858 é atualizar o pacote Terser para a versão 4.8.1 ou superior. Se a atualização imediata não for possível devido a incompatibilidades, considere implementar um firewall de aplicação web (WAF) com regras para detectar e bloquear padrões de entrada que possam acionar expressões regulares problemáticas. Além disso, revise o código da aplicação para identificar e otimizar o uso de expressões regulares, garantindo que sejam eficientes e não suscetíveis a ataques de ReDoS. Após a atualização, confirme a correção executando testes de carga para verificar se o serviço opera normalmente sob condições de estresse.
Atualize o pacote terser para a versão 4.8.1 ou superior, ou para a versão 5.14.2 ou superior. Isso corrige a vulnerabilidade de Denegação de Serviço por Expressão Regular (ReDoS) causada pelo uso inseguro de expressões regulares.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-25858 is a Regular Expression Denial of Service (ReDoS) vulnerability affecting Terser versions before 4.8.1 and 5.0.0 - 5.14.2, allowing attackers to cause excessive CPU consumption.
You are affected if your project uses Terser versions prior to 4.8.1 or between 5.0.0 and 5.14.2. Check your package.json file to determine your Terser version.
Upgrade to Terser version 4.8.1 or later. If immediate upgrade is not possible, implement input validation to sanitize JavaScript code before processing.
No active exploitation campaigns have been publicly reported, but public proof-of-concept exploits exist.
Refer to the Terser project's GitHub repository and associated security advisories for details: https://github.com/terser/terser
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.