Plataforma
nodejs
Componente
minimatch
Corrigido em
2.5.4
CVE-2022-3517 é uma vulnerabilidade no pacote minimatch que permite um ataque de negação de serviço por meio de expressões regulares (ReDoS). A falha ocorre ao chamar a função braceExpand com argumentos especialmente criados, levando a um consumo excessivo de recursos e, consequentemente, a uma negação de serviço. Esta vulnerabilidade afeta versões anteriores à 3.0.5 do minimatch. A versão 3.0.5 corrige esta vulnerabilidade.
Uma vulnerabilidade foi identificada no pacote minimatch, especificamente na função braceExpand. CVE-2022-3517 descreve um ataque de Negação de Serviço por Expressão Regular (ReDoS) que pode ser explorado ao fornecer argumentos específicos para esta função. Um atacante pode enviar uma entrada maliciosa projetada para fazer com que a função consuma uma quantidade excessiva de recursos do sistema (CPU, memória), o que pode resultar na instabilidade do aplicativo ou até mesmo em sua falha completa. A severidade desta vulnerabilidade foi classificada com uma pontuação CVSS de 7,5, indicando um risco significativo. É crucial atualizar o minimatch para a versão 3.0.5 ou superior para mitigar este risco. A vulnerabilidade afeta projetos que usam o minimatch para correspondência de padrões de arquivo, como ferramentas de construção, sistemas de gerenciamento de conteúdo e outras aplicações que dependem da expansão de padrões de arquivo.
A vulnerabilidade é explorada enviando uma string de entrada cuidadosamente elaborada para a função braceExpand do minimatch. Esta string é projetada para acionar um comportamento de retrocesso excessivo na expressão regular subjacente, levando a um consumo desproporcional de recursos do sistema. O atacante não precisa de privilégios especiais para explorar esta vulnerabilidade, pois pode enviar a entrada maliciosa através de uma interface de usuário ou uma API. A complexidade da expressão regular torna difícil detectar e prevenir sem uma correção específica. A probabilidade de exploração é alta se as aplicações não validarem adequadamente a entrada do usuário que é utilizada na função braceExpand. A exploração pode ser silenciosa, pois o ataque pode não gerar erros visíveis imediatamente, mas simplesmente degradar o desempenho do sistema com o tempo.
Status do Exploit
EPSS
0.45% (percentil 64%)
Vetor CVSS
A mitigação principal para CVE-2022-3517 é atualizar a biblioteca minimatch para a versão 3.0.5 ou superior. Esta versão inclui uma correção que evita o ataque ReDoS. Se não for possível atualizar imediatamente, recomenda-se revisar o código que utiliza braceExpand para identificar possíveis pontos de entrada para dados maliciosos. Podem ser implementadas validações de entrada para limitar a complexidade dos padrões que são passados para a função. Além disso, monitorar o uso de recursos do sistema (CPU, memória) em aplicações que utilizam minimatch pode ajudar a detectar ataques ReDoS em curso. Implementar um firewall de aplicações web (WAF) pode fornecer uma camada adicional de proteção ao filtrar padrões de entrada potencialmente maliciosos. A atualização é a solução mais eficaz e recomendada.
Actualice el paquete minimatch a la versión 2.5.4 o superior para mitigar el riesgo de denegación de servicio por ReDoS. Puede hacerlo utilizando npm o yarn: `npm install minimatch@latest` o `yarn add minimatch@latest`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
ReDoS (Regular Expression Denial of Service) é um tipo de ataque DoS que explora a complexidade das expressões regulares para consumir uma quantidade excessiva de recursos do sistema.
Não necessariamente. Afecta as aplicações que usam a função braceExpand e não validam adequadamente a entrada do usuário.
Revise o código que usa braceExpand e considere implementar validações de entrada para limitar a complexidade dos padrões.
Monitore o uso de recursos do sistema (CPU, memória) em aplicações que usam minimatch. Um aumento repentino e sustentado no uso de recursos pode indicar um ataque.
Existem ferramentas de análise estática e dinâmica que podem ajudar a identificar padrões de expressões regulares complexos e potencialmente vulneráveis.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.