平台
nodejs
组件
loader-utils
修复版本
2.5.4
CVE-2022-37599是webpack loader-utils中interpolateName.js的Function interpolateName函数中发现的正则表达式拒绝服务(ReDoS)漏洞。恶意构造的字符串可能被用于发送精心设计的请求,导致系统崩溃或花费过多的时间来处理。受影响的版本包括所有早于1.4.2的版本。此问题已在1.4.2版本中得到修复。
CVE-2022-37599 是 webpack loader-utils 库中的一个正则表达式拒绝服务 (ReDoS) 漏洞。该漏洞存在于 interpolateName.js 文件中的 interpolateName 函数,特别是 resourcePath 变量的处理过程中。攻击者可以通过构造恶意的字符串,利用该函数进行正则表达式匹配,导致系统消耗过多的 CPU 资源,最终导致服务崩溃或响应时间显著延长。攻击场景可能包括:恶意用户上传包含特殊构造的 resourcePath 路径的文件到 Webpack 构建流程中;或者攻击者控制了构建过程中的环境变量,并注入恶意的 resourcePath 值。受影响的数据可能包括构建过程中使用的任何文件,因为攻击者可以利用 ReDoS 攻击来阻止构建过程,从而间接影响项目依赖和最终交付的应用程序。由于 Webpack 通常用于前端和后端项目的构建,因此该漏洞的潜在影响范围非常广泛,可能影响多个应用程序和系统,造成服务中断和潜在的数据泄露风险。攻击者无需身份验证即可利用此漏洞,属于高危漏洞。
目前,CVE-2022-37599 尚无公开的利用报告 (KEV)。这意味着尚未发现该漏洞被实际利用的案例。然而,ReDoS 漏洞通常被认为是高危漏洞,因为它们相对容易被利用,并且可能导致严重的后果。虽然目前没有公开的 POC (概念验证) 代码,但攻击者可以根据漏洞描述自行构造恶意字符串进行攻击。因此,建议尽快修复此漏洞,以降低潜在的安全风险。由于缺乏公开利用信息,漏洞的紧迫性取决于您的项目对 loader-utils 的依赖程度以及您所面临的攻击面。对于高风险项目,建议优先修复此漏洞。
漏洞利用状态
EPSS
4.00% (88% 百分位)
CVSS 向量
为了解决 CVE-2022-37599,建议立即将 loader-utils 升级到安全版本。受影响的版本包括低于 1.4.2 的版本。升级到 1.4.2、2.0.4 或 3.2.1 版本可以有效修复此漏洞。如果无法立即升级,可以考虑对输入进行严格的验证和清理,特别是 resourcePath 变量,以防止恶意字符串注入。例如,可以对 resourcePath 进行白名单过滤,只允许包含特定字符和模式的字符串。在升级或实施临时缓解措施后,务必进行彻底的测试,以确保构建过程正常运行,并且漏洞已成功修复。建议在测试环境中验证升级后的构建流程,然后再将其部署到生产环境。升级过程应遵循标准的软件更新流程,并确保在升级期间不会中断关键业务服务。
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto corregirá la expresión regular vulnerable en la función interpolateName, previniendo ataques que podrían causar un consumo excesivo de recursos.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2022-37599 是 webpack loader-utils 库中的一个正则表达式拒绝服务 (ReDoS) 漏洞,攻击者可以通过构造恶意字符串导致系统崩溃或响应时间过长。
如果您的项目使用了 loader-utils 1.4.2 之前的版本,那么您可能受到此漏洞的影响。
将 loader-utils 升级到 1.4.2、2.0.4 或 3.2.1 版本可以修复此漏洞。
目前尚无公开的利用报告,但建议尽快修复以降低潜在风险。
请参考 NVD 漏洞信息:https://nvd.nist.gov/vuln/detail/CVE-2022-37599