GHSA-rrr8-f88r-h8q6

Опубликовано: 18 сент. 2024

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 7.5

Описание

find-my-way has a ReDoS vulnerability in multiparametric routes

Impact

A bad regular expression is generated any time you have two parameters within a single segment, when adding a - at the end, like /:a-:b-.

Patches

Update to find-my-way v8.2.2 or v9.0.1. or subsequent versions.

Workarounds

No known workarounds.

References

Ссылки

Пакеты

Наименование

find-my-way

npm

Затронутые версииВерсия исправления

>= 5.5.0, < 8.2.2

8.2.2

Наименование

find-my-way

npm

Затронутые версииВерсия исправления

>= 9.0.0, < 9.0.1

9.0.1

EPSS

Процентиль: 15%

0.00048

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2024-45813

Дефекты

CWE-1333

Связанные уязвимости

CVE-2024-45813

CVSS3: 7.5

redhat

больше 1 года назад

find-my-way is a fast, open source HTTP router, internally using a Radix Tree (aka compact Prefix Tree), supports route params, wildcards, and it's framework independent. A bad regular expression is generated any time one has two parameters within a single segment, when adding a `-` at the end, like `/:a-:b-`. This may cause a denial of service in some instances. Users are advised to update to find-my-way v8.2.2 or v9.0.1. or subsequent versions. There are no known workarounds for this issue.

CVE-2024-45813

CVSS3: 5.3

nvd

больше 1 года назад

BDU:2024-07779

CVSS3: 5.3

fstec

больше 1 года назад

Уязвимость HTTP-маршрутизатора Find my Way, связанная с использованием регулярного выражения c неэффективной вычислительной сложностью, позволяющая нарушителю вызвать отказ в обслуживании (ReDos)

EPSS

Процентиль: 15%

0.00048

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2024-45813

Дефекты

CWE-1333