Plataforma
nodejs
Componente
loader-utils
Corrigido em
2.5.4
CVE-2022-37599 descreve uma vulnerabilidade de negação de serviço (DoS) encontrada em loader-utils. Uma string maliciosa pode causar travamentos ou consumo excessivo de recursos. Afeta versões anteriores a 1.4.2. A vulnerabilidade foi corrigida nas versões 1.4.2, 2.0.4 e 3.2.1.
A vulnerabilidade CVE-2022-37599 em loader-utils expõe aplicações Webpack a um ataque de negação de serviço (DoS) através de uma falha de expressão regular (ReDoS). O problema reside na função interpolateName dentro do arquivo interpolateName.js, especificamente na forma como a variável resourcePath é processada. Um atacante pode injetar strings maliciosamente formatadas dentro do resourcePath, que, ao serem processadas pela expressão regular, levam a um consumo excessivo de recursos do sistema, como CPU e memória. Isso pode resultar em lentidão extrema, travamentos ou até mesmo a queda da aplicação. O risco de dados diretamente comprometidos é baixo, pois o ataque visa a indisponibilidade do serviço. No entanto, a interrupção do serviço pode impactar a disponibilidade de funcionalidades críticas e potencialmente levar a perdas de negócios. O raio de impacto (blast radius) é limitado à aplicação Webpack que utiliza a versão vulnerável de loader-utils, mas a dependência generalizada de Webpack em muitos projetos web significa que um grande número de aplicações pode estar em risco. A exploração bem-sucedida pode interromper a compilação de ativos, a construção de aplicações e, consequentemente, a entrega de conteúdo aos usuários.
Atualmente, não há relatos públicos de exploração ativa da vulnerabilidade CVE-2022-37599 (KEV - Kill Event). No entanto, a natureza da vulnerabilidade ReDoS a torna potencialmente explorável, especialmente considerando a facilidade relativa de criar strings maliciosas que desencadeiam o problema. Embora não haja um Proof of Concept (PoC) público disponível, a descrição da vulnerabilidade fornece informações suficientes para que um atacante desenvolva um. A ausência de exploração pública não diminui a importância de aplicar a correção, pois a descoberta e a subsequente exploração podem ocorrer rapidamente. Dada a natureza crítica de Webpack em muitos projetos web, a vulnerabilidade deve ser tratada com alta prioridade e corrigida o mais breve possível para evitar potenciais interrupções de serviço.
Status do Exploit
EPSS
4.00% (percentil 88%)
Vetor CVSS
A correção para CVE-2022-37599 está disponível nas versões 1.4.2, 2.0.4 e 3.2.1 de loader-utils. A mitigação primária é atualizar o loader-utils para uma dessas versões corrigidas o mais rápido possível. Em ambientes onde a atualização imediata não é possível, uma possível solução alternativa (workaround) é sanitizar ou validar rigorosamente o valor da variável resourcePath antes de passá-lo para a função interpolateName. Isso pode envolver a limitação do tamanho da string, a remoção de caracteres especiais ou a aplicação de uma expressão regular mais restritiva para validar o formato. A sequência de atualização deve seguir as práticas recomendadas para gerenciamento de dependências, garantindo a compatibilidade com outras bibliotecas e componentes do projeto. Após a atualização ou implementação do workaround, é crucial verificar se a aplicação está funcionando corretamente e se a vulnerabilidade foi efetivamente mitigada. Isso pode ser feito através de testes de regressão e, se possível, simulação de ataques para confirmar a resistência à exploração.
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto corregirá la expresión regular vulnerable en la función interpolateName, previniendo ataques que podrían causar un consumo excesivo de recursos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2022-37599 is a Regular Expression Denial of Service (ReDoS) vulnerability in webpack's loader-utils library that can cause system crashes or performance degradation.
You are affected if you are using a version of loader-utils prior to 1.4.2, 2.0.4, or 3.2.1.
Upgrade your loader-utils dependency to version 1.4.2 or later to resolve this vulnerability.
Currently, there are no publicly available exploitation reports or Proof-of-Concept code for this vulnerability.
Refer to the National Vulnerability Database (NVD) entry for more details: https://nvd.nist.gov/vuln/detail/CVE-2022-37599
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.