Vulnerabilidad en la función parse la variable re_attr del archivo index.js en el paquete css-what (CVE-2022-21222)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
30/09/2022
Última modificación:
20/05/2025
Descripción
El paquete css-what versiones anteriores a 2.1.3, es vulnerable a una Denegación de Servicio por Expresión Regular (ReDoS) debido al uso de una expresión regular no segura en la variable re_attr del archivo index.js. La explotación de esta vulnerabilidad podría desencadenarse por medio de la función parse
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:css-what_project:css-what:*:*:*:*:*:node.js:*:* | 2.1.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/fb55/css-what/blob/a38effd5a8f5506d75c7f8f13cbd8c76248a3860/index.js%23L12
- https://lists.debian.org/debian-lts-announce/2023/03/msg00001.html
- https://security.snyk.io/vuln/SNYK-JS-CSSWHAT-3035488
- https://github.com/fb55/css-what/blob/a38effd5a8f5506d75c7f8f13cbd8c76248a3860/index.js%23L12
- https://lists.debian.org/debian-lts-announce/2023/03/msg00001.html
- https://security.snyk.io/vuln/SNYK-JS-CSSWHAT-3035488