js · ua-parser-jsAtenção
ua-parser-js: ReDoS via Client Hints API (CVE pendente)
Uma vulnerabilidade ReDoS foi descoberta no ua-parser-js ao usar a API Client Hints.
O que mudou
Uma vulnerabilidade ReDoS foi descoberta no ua-parser-js ao usar a API Client Hints. Um cabeçalho Sec-CH-UA-Model malicioso pode causar tempo excessivo de CPU devido a backtracking catastrófico na regex de dispositivo.
Quem isso afeta
Aplicações server-side que usam ua-parser-js versões >=2.0.1 e <=2.0.9 e chamam UAParser(headers).withClientHints().
O que fazer hoje
Atualize ua-parser-js para a versão 2.0.10 ou superior para corrigir a regex vulnerável e limitar a entrada de Client Hints.
A esteira
Coletado→
Auditado→
Redigido→
Publicado