Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en get-func-name (CVE-2023-43646)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
27/09/2023
Última modificación:
02/10/2023

Descripción

get-func-name es un módulo para recuperar el nombre de una función de forma segura y consistente tanto en NodeJS como en el navegador. Las versiones anteriores a la 2.0.1 están sujetas a una vulnerabilidad de denegación de servicio de expresión regular (redos) que puede provocar una denegación de servicio al analizar entradas maliciosas. Esta vulnerabilidad se puede aprovechar cuando hay un desequilibrio entre paréntesis, lo que da como resultado un retroceso excesivo y, posteriormente, aumenta significativamente la carga de la CPU y el tiempo de procesamiento. Esta vulnerabilidad se puede activar utilizando la siguiente entrada: '\t'.repeat(54773) + '\t/function/i'. Este problema se solucionó en el commit `f934b228b` que se incluyó en las versiones 2.0.1. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:chaijs:get-func-name:*:*:*:*:*:node.js:*:* 2.0.1 (excluyendo)