Vulnerabilidad en el módulo americanFlag en package colors (CVE-2021-23567)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/01/2022
Última modificación:
21/01/2022
Descripción
package colors versiones posteriores a 1.4.0, son vulnerables a una denegación de servicio (DoS) que es introducida mediante un bucle infinito en el módulo americanFlag. Desafortunadamente, esto parece haber sido un intento intencionado por parte de un mantenedor de colors para hacer el paquete inusable, los controles de otros mantenedores sobre este paquete parecen haber sido revocados en un intento de evitar que arreglen el problema. Código vulnerable js for (let i = 666; i < Infinity; i++;) { Remediación alternativa sugerida * Fijar la dependencia a versión 1.4.0
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Puntuación base 2.0
5.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:colors.js_project:colors.js:1.4.1:*:*:*:*:node.js:*:* | ||
| cpe:2.3:a:colors.js_project:colors.js:1.4.44-liberty-2:*:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/Marak/colors.js/commit/074a0f8ed0c31c35d13d28632bd8a049ff136fb6%23diff-92bbac9a308cd5fcf9db165841f2d90ce981baddcb2b1e26cfff170929af3bd1R18
- https://github.com/Marak/colors.js/issues/285
- https://github.com/Marak/colors.js/issues/285%23issuecomment-1008212640
- https://snyk.io/blog/open-source-maintainer-pulls-the-plug-on-npm-packages-colors-and-faker-now-what/
- https://snyk.io/vuln/SNYK-JS-COLORS-2331906