Vulnerabilidad en TypeScript (CVE-2026-25547)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

04/02/2026

Última modificación:

05/02/2026

Descripción

@isaacs/brace-expansion es una bifurcación de TypeScript híbrida CJS/ESM de brace-expansion. Antes de la versión 5.0.1, @isaacs/brace-expansion es vulnerable a un problema de denegación de servicio (DoS) causado por la expansión ilimitada de rangos de llaves. Cuando un atacante proporciona un patrón que contiene rangos de llaves numéricos repetidos, la librería intenta generar ávidamente cada combinación posible de forma síncrona. Debido a que la expansión crece exponencialmente, incluso una entrada pequeña puede consumir CPU y memoria excesivas y puede bloquear el proceso de Node.js. Este problema ha sido parcheado en la versión 5.0.1.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.20 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Alto

Puntuación base 4.0

9.20

Gravedad 4.0

CRÍTICA

Referencias a soluciones, herramientas e información

https://github.com/isaacs/brace-expansion/security/advisories/GHSA-7h2j-956f-4vf2