Plataforma
nodejs
Componente
bn.js
Corrigido em
5.2.3
4.12.3
A vulnerabilidade CVE-2026-2739 afeta a biblioteca JavaScript bn.js, especificamente versões anteriores a 4.12.3 e 5.2.3. A exploração desta falha ocorre ao chamar a função maskn(0) em qualquer instância BN, o que corrompe o estado interno da biblioteca. Essa corrupção leva a um loop infinito em operações subsequentes, como toString(), divmod() e outras, resultando em um travamento do processo.
O impacto primário desta vulnerabilidade é a negação de serviço (DoS). Quando um atacante consegue chamar maskn(0) em uma instância BN, o processo que utiliza a biblioteca bn.js entra em um loop infinito, tornando-se completamente não responsivo. Isso pode interromper a funcionalidade de aplicações que dependem da biblioteca, levando à indisponibilidade do serviço. A severidade do impacto depende da criticidade da aplicação afetada. Em sistemas de alta disponibilidade, a falha de um único processo pode ser mitigada, mas em sistemas menores ou com menor redundância, o impacto pode ser significativo. Não há indicação de que esta vulnerabilidade permita a execução remota de código ou o acesso não autorizado a dados, mas a interrupção do serviço pode ter consequências indiretas, como perda de dados ou interrupção de operações críticas.
A vulnerabilidade CVE-2026-2739 foi publicada em 20 de fevereiro de 2026. A probabilidade de exploração é considerada média, pois a vulnerabilidade envolve a manipulação direta de uma função da biblioteca, o que pode exigir um certo nível de conhecimento técnico. Não há evidências de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas, mas a existência de um loop infinito que pode levar à negação de serviço a torna um alvo potencial para ataques oportunistas. Não há informações disponíveis sobre a inclusão desta vulnerabilidade no KEV ou EPSS. Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para obter atualizações e informações adicionais.
Status do Exploit
EPSS
0.02% (percentil 5%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-2739 é a atualização da biblioteca bn.js para a versão 4.12.3 ou superior. Se a atualização imediata não for possível devido a incompatibilidades ou dependências, considere implementar medidas de proteção temporárias. Uma possível medida é validar a entrada para a função maskn() e garantir que o argumento nunca seja zero. Embora essa validação possa não impedir completamente a exploração, pode reduzir o risco. Além disso, monitore os processos que utilizam a biblioteca bn.js em busca de comportamento anômalo, como consumo excessivo de CPU ou memória, que pode indicar um ataque em andamento. Após a atualização, confirme a correção executando testes que simulem a chamada da função maskn(0) e verifique se o processo não entra em loop infinito.
Actualice la dependencia bn.js a la versión 5.2.3 o superior. Esto solucionará la corrupción del estado interno al llamar a maskn(0) y evitará el bucle infinito en métodos como toString() y divmod(). Ejecute `npm install bn.js@latest` o `yarn upgrade bn.js` para actualizar.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma vulnerabilidade que causa um loop infinito na biblioteca JavaScript bn.js, levando à negação de serviço quando a função maskn(0) é chamada.
Se você estiver usando bn.js em versões anteriores a 4.12.3 ou 5.2.3, você está potencialmente afetado. Verifique suas dependências.
Atualize a biblioteca bn.js para a versão 4.12.3 ou superior. Se a atualização não for possível, valide a entrada da função maskn().
Não há evidências de exploração ativa, mas a vulnerabilidade representa um risco de negação de serviço.
Consulte o NVD (National Vulnerability Database) e o CISA (Cybersecurity and Infrastructure Security Agency) para obter informações adicionais.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.