Vulnerabilidad en path-to-regexp (CVE-2024-45296)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

09/09/2024

Última modificación:

24/01/2025

Descripción

path-to-regexp convierte cadenas de ruta en expresiones regulares. En ciertos casos, path-to-regexp generará una expresión regular que puede explotarse para generar un rendimiento deficiente. Debido a que JavaScript es de un solo subproceso y la coincidencia de expresiones regulares se ejecuta en el subproceso principal, un rendimiento deficiente bloqueará el bucle de eventos y provocará un ataque de denegación de servicio (DoS). La expresión regular incorrecta se genera cada vez que hay dos parámetros dentro de un solo segmento, separados por algo que no sea un punto (.). Para los usuarios de la versión 0.1, actualice a la versión 0.1.10. Todos los demás usuarios deben actualizar a la versión 8.0.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vulnerabilidad en path-to-regexp (CVE-2024-45296)

Descripción

Impacto

Referencias a soluciones, herramientas e información