Plataforma
nodejs
Componente
path-to-regexp
Corrigido em
0.1.13
0.1.13
A vulnerabilidade CVE-2026-4867 é uma falha de Negação de Serviço (DoS) encontrada na biblioteca path-to-regexp, utilizada em aplicações Node.js. Um atacante pode explorar essa falha gerando expressões regulares maliciosas que levam a um backtracking catastrófico, resultando em um consumo excessivo de recursos do servidor e potencial indisponibilidade do serviço. A vulnerabilidade afeta versões anteriores a 0.1.13 e foi publicada em 27 de março de 2026. A correção está disponível na versão 0.1.13.
A exploração bem-sucedida da CVE-2026-4867 pode levar a uma negação de serviço significativa. Um atacante pode enviar solicitações especialmente elaboradas contendo parâmetros em segmentos de URL que, quando processados pela biblioteca path-to-regexp, resultam na geração de uma expressão regular ineficiente. Essa expressão regular, ao ser avaliada, entra em um loop de backtracking, consumindo recursos da CPU e memória do servidor de forma descontrolada. Isso pode levar ao travamento do processo Node.js, à indisponibilidade da aplicação e, em casos extremos, a um impacto em outros serviços compartilhando o mesmo servidor. A complexidade da expressão regular torna a detecção e mitigação mais desafiadoras, aumentando o potencial de impacto.
A CVE-2026-4867 não foi adicionada ao KEV (CISA Known Exploited Vulnerabilities) até o momento. A probabilidade de exploração é considerada baixa a média, dado que a vulnerabilidade envolve a criação de solicitações específicas e pode exigir conhecimento da estrutura interna da aplicação. Não há public proof-of-concept (PoC) amplamente divulgados, mas a natureza da vulnerabilidade sugere que a criação de um PoC é relativamente simples. A publicação da vulnerabilidade em 27 de março de 2026 indica que a pesquisa e a divulgação foram recentes.
Applications built with Node.js that utilize the path-to-regexp package for URL routing or parameter parsing are at risk. This includes web applications, APIs, and microservices that rely on this package for handling incoming requests. Projects using older versions of path-to-regexp are particularly vulnerable.
• nodejs / server:
npm list path-to-regexp• nodejs / server:
npm audit path-to-regexp• nodejs / server:
grep -r 'path-to-regexp' package.jsondisclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
A mitigação primária para a CVE-2026-4867 é a atualização para a versão 0.1.13 ou superior da biblioteca path-to-regexp. Se a atualização imediata não for possível devido a incompatibilidades ou dependências, considere implementar medidas de proteção adicionais. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear solicitações com padrões de URL suspeitos pode ajudar a reduzir o risco. Além disso, limitar o número de parâmetros permitidos em cada segmento de URL pode mitigar a probabilidade de gerar expressões regulares maliciosas. Após a atualização, confirme a correção verificando se as solicitações com os padrões de URL vulneráveis não causam mais o consumo excessivo de recursos.
Atualize a versão da biblioteca path-to-regexp para a versão 0.1.13 ou superior. Se não for possível atualizar, você pode fornecer uma expressão regular personalizada para os parâmetros após o primeiro em um segmento único. Outra alternativa é limitar o comprimento da URL.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-4867 is a Denial of Service vulnerability in the path-to-regexp Node.js package, allowing attackers to trigger catastrophic backtracking with complex URL parameters.
You are affected if you are using a version of path-to-regexp prior to 0.1.13. Check your project dependencies to determine if you are vulnerable.
Upgrade to version 0.1.13 or later of the path-to-regexp package using npm or yarn. This resolves the flawed regular expression generation.
As of now, there are no known public exploits or active campaigns targeting CVE-2026-4867, but it remains a potential risk.
Refer to the official path-to-regexp GitHub release notes for version 0.1.13: https://github.com/pillarjs/path-to-regexp/releases/tag/v.0.1.13
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.