CVE-2022-37603
CVE-2022-37603
Em resumo
Uma falha no loader-utils do webpack permite que atacantes travam o processo de build enviando strings especialmente criadas que fazem o motor de expressões regulares ficar pendurado. Isso pode interromper fluxos de desenvolvimento e pipelines de integração contínua.
Detalhe técnico
Existe uma vulnerabilidade ReDoS na função interpolateName do loader-utils 2.0.0, onde o parâmetro url é processado por um padrão de expressão regular vulnerável. Um atacante pode fornecer uma string de URL malformada para desencadear backtracking exponencial no motor regex, causando negação de serviço durante builds webpack sem exigir autenticação ou privilégios especiais.
Resumo gerado e traduzido por IA a partir da descrição oficial.
A Regular expression denial of service (ReDoS) flaw was found in Function interpolateName in interpolateName.js in webpack loader-utils 2.0.0 via the url variable in interpolateName.js.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
n/a · n/aQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/webpack/loader-utils/blob/d9f4e23cf411d8556f8bac2d3bf05a6e0103b568/lib/interpolateName.js#L107https://github.com/webpack/loader-utils/blob/d9f4e23cf411d8556f8bac2d3bf05a6e0103b568/lib/interpolateName.js#L38https://github.com/webpack/loader-utils/issues/213https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ERN6YE3DS7NBW7UH44SCJBMNC2NWQ7SM/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/KAC5KQ2SEWAMQ6UZAUBZ5KXKEOESH375/https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/VNV2GNZXOTEDAJRFH3ZYWRUBGIVL7BSU/