CRITICAL🇬🇧 English

CVE-2026-25547

DoS przez nieograniczoną ekspansję zakresów w @isaacs/brace-expansion

CVSS 9.2v4.0pub. 2026-02-04upd. 2026-04-15

Biblioteka @isaacs/brace-expansion przed wersją 5.0.1 jest podatna na atak odmowy usługi (DoS) spowodowany nieograniczoną ekspansją zakresów numerycznych w nawiasach klamrowych. Nawet niewielkie złośliwe dane wejściowe mogą doprowadzić do nadmiernego zużycia CPU i pamięci, a w konsekwencji do awarii procesu Node.js.

Pokaż oryginał (EN)

@isaacs/brace-expansion is a hybrid CJS/ESM TypeScript fork of brace-expansion. Prior to version 5.0.1, @isaacs/brace-expansion is vulnerable to a denial of service (DoS) issue caused by unbounded brace range expansion. When an attacker provides a pattern containing repeated numeric brace ranges, the library attempts to eagerly generate every possible combination synchronously. Because the expansion grows exponentially, even a small input can consume excessive CPU and memory and may crash the Node.js process. This issue has been patched in version 5.0.1.

🤖 Analiza AI
Jak działa

Biblioteka przetwarza wzorce zawierające zakresy numeryczne w nawiasach klamrowych, synchronicznie generując wszystkie możliwe kombinacje. Gdy atakujący dostarcza wzorzec z wielokrotnie zagnieżdżonymi lub powtarzającymi się zakresami numerycznymi, liczba kombinacji rośnie wykładniczo. Ze względu na brak ograniczenia głębokości lub rozmiaru ekspansji (CWE-1333 — Improper Neutralization of Special Elements via ReDoS-like mechanism), proces blokuje się na obliczeniach, co wyczerpuje zasoby systemowe. Nie jest wymagane uwierzytelnienie ani interakcja użytkownika, a atak jest możliwy zdalnie.

Skutki

Atakujący może doprowadzić do całkowitej niedostępności aplikacji opartej na Node.js poprzez crash procesu lub jego zawieszenie wskutek wyczerpania CPU i pamięci. Skutki obejmują zarówno niedostępność samej aplikacji, jak i systemów od niej zależnych.

Mitygacja

Należy zaktualizować pakiet @isaacs/brace-expansion do wersji 5.0.1 lub nowszej, w której problem został naprawiony. Zaleca się też przegląd wszystkich zależności projektu korzystających z tej biblioteki i wymuszenie aktualizacji na poziomie pliku lock.

Kogo dotyczy

Pakiet @isaacs/brace-expansion w wersjach wcześniejszych niż 5.0.1 (hybryda CJS/ESM, fork biblioteki brace-expansion napisany w TypeScript).

Uwagi

Podatność dotyczy wyłącznie forka @isaacs/brace-expansion — nie należy mylić jej z oryginalnym pakietem brace-expansion. Szczegóły dostępne w advisory: GHSA-7h2j-956f-4vf2.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
DoS
CWE
Referencje