平台
nodejs
组件
loader-utils
修复版本
2.5.4
CVE-2022-37603是webpack loader-utils 2.0.0中的interpolateName.js文件中发现的正则表达式拒绝服务(ReDoS)漏洞。该漏洞源于interpolateName函数中url变量处理不当,恶意构造的字符串可能导致服务器CPU资源耗尽,造成拒绝服务。受影响的版本包括loader-utils 2.0.0。此漏洞已在1.4.2、2.0.4和3.2.1版本中修复。
CVE-2022-37603 影响 webpack 中使用的 loader-utils 库,特别是 interpolateName.js 中的 interpolateName 函数。此漏洞是一种正则表达式拒绝服务 (ReDoS) 攻击。攻击者可以通过 url 变量发送精心制作的请求,其中包含恶意字符串。这些字符串在由正则表达式处理时,可能会消耗不均衡的系统资源,导致崩溃或显著的性能下降。在 webpack 用于构建复杂 Web 应用程序的环境中,此风险尤其高,因为成功的攻击可能会中断构建过程并影响服务可用性。CVSS 严重程度评分为 7.5,表明存在高风险。
此漏洞是通过将恶意字符串注入到 interpolateName 函数使用的 url 变量中来利用的。这些字符串旨在触发正则表达式的过度行为,从而导致 ReDoS。攻击者需要能够控制或影响 url 变量的值。这可能通过 URL 中的查询参数、表单提交的数据或通过操纵配置文件来实现。攻击的复杂性取决于攻击者创建能够最大化正则表达式处理时间的字符串的能力。
漏洞利用状态
EPSS
1.26% (79% 百分位)
CVSS 向量
最有效的解决方案是将 loader-utils 库更新到已修复的版本。版本 1.4.2、2.0.4 和 3.2.1 包含此漏洞的修复程序。我们强烈建议更新到最新可用版本。如果无法立即更新,则可以实施临时缓解措施,例如在将 url 变量输入传递给 interpolateName 函数之前验证和清理该输入。但是,这些措施不如完全更新安全,应仅将其视为临时解决方法。监控系统性能和错误日志可以帮助检测潜在的 ReDoS 攻击。
Actualice el paquete loader-utils a la versión 2.5.4 o superior para mitigar la vulnerabilidad de denegación de servicio por expresión regular (ReDoS). Esto se puede hacer utilizando un gestor de paquetes como npm o yarn.
漏洞分析和关键警报直接发送到您的邮箱。
ReDoS (Regular Expression Denial of Service) 攻击利用正则表达式处理特定输入的方式,消耗过多的资源并导致拒绝服务。
如果您使用的是 1.4.2、2.0.4 或 3.2.1 之前的 loader-utils 版本,则很可能受到影响。请检查 webpack 项目的依赖项。
作为临时措施,您可以在 interpolateName 中使用之前验证和清理 url 变量的输入,但这并不是完整的解决方案。
有一些静态分析工具可以帮助识别正则表达式中潜在的 ReDoS 漏洞,但它们的有效性可能会有所不同。
您可以在 CVE (Common Vulnerabilities and Exposures) 等安全数据库中查看漏洞报告,并在 webpack 和 loader-utils 文档中查找更多信息。