Vulnerabilidad en la opción de análisis ignoreEmpty en Fast-csv (CVE-2020-26256)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
08/12/2020
Última modificación:
07/11/2023
Descripción
Fast-csv es un paquete npm para analizar y formatear CSV o cualquier otro archivo de valor delimitado en node. En fast-cvs anterior a versión 4.3.6, se presenta una posible vulnerabilidad ReDoS (Denegación de servicio de expresión regular) cuando se usa la opción ignoreEmpty al analizar. Esto ha sido parcheado en versión "v4.3.6" Solo se verá afectado por esto si utiliza la opción de análisis "ignoreEmpty". Si usa esta opción, se recomienda que actualice a la última versión "v4.3.6". Esta vulnerabilidad se encontró usando una consulta CodeQL que identificó la expresión regular "EMPTY_ROW_REGEXP" como vulnerable
Impacto
Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
3.50
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:c2fo:fast-csv:*:*:*:*:*:node.js:*:* | 4.3.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/C2FO/fast-csv/commit/4bbd39f26a8cd7382151ab4f5fb102234b2f829e
- https://github.com/C2FO/fast-csv/issues/540
- https://github.com/C2FO/fast-csv/security/advisories/GHSA-8cv5-p934-3hwp
- https://lgtm.com/query/8609731774537641779/
- https://www.npmjs.com/package/%40fast-csv/parse
- https://www.npmjs.com/package/fast-csv