Vulnerabilidad en picomatch de micromatch (CVE-2026-33672)

Picomatch es un comparador de globs escrito en JavaScript. Las versiones anteriores a 4.0.4, 3.0.2 y 2.3.2 son vulnerables a una vulnerabilidad de inyección de métodos que afecta al objeto `POSIX_REGEX_SOURCE`. Debido a que el objeto hereda de `Object.prototype`, las expresiones de corchetes POSIX especialmente diseñadas (por ejemplo, '[[:constructor:]]') pueden hacer referencia a nombres de métodos heredados. Estos métodos se convierten implícitamente en cadenas y se inyectan en la expresión regular generada. Esto conduce a un comportamiento incorrecto de coincidencia de globs (impacto en la integridad), donde los patrones pueden coincidir con nombres de archivo no deseados. El problema no permite la ejecución remota de código, pero puede causar errores lógicos relevantes para la seguridad en aplicaciones que dependen de la coincidencia de globs para el filtrado, la validación o el control de acceso. Todos los usuarios de las versiones afectadas de `picomatch` que procesan patrones de glob no confiables o controlados por el usuario están potencialmente afectados. Este problema se corrige en picomatch 4.0.4, 3.0.2 y 2.3.2. Los usuarios deben actualizar a una de estas versiones o posteriores, dependiendo de su línea de lanzamiento compatible. Si la actualización no es posible de inmediato, evite pasar patrones de glob no confiables a picomatch. Las posibles mitigaciones incluyen sanear o rechazar patrones de glob no confiables, especialmente aquellos que contienen clases de caracteres POSIX como '[[:...:]]'; evitar el uso de expresiones de corchetes POSIX si hay entrada de usuario involucrada; y parchear manualmente la biblioteca modificando `POSIX_REGEX_SOURCE` para usar un prototipo nulo.