Уязвимость была определена в postss-selector-parser до 6.1.2/7.1.2. Затронута функция Строки файла src/selectors/container.js компонента AS…
Уязвимость была определена в postss-selector-parser до 6.1.2/7.1.2. Затронута функция Строки файла src/selectors/container.js компонента AST Serialization. Выполнение манипуляции может привести к неконтролируемой рекурсии. Можно запустить атаку дистанционно. Эксплойт был публично раскрыт и может быть использован. Обновление до версий 6.1.3 и 7.1.3 способно решить эту проблему. Этот патч называется 5bc698cf66f6f869d12610dc263e5d67cbc0f869d. Рекомендуется модернизировать пораженный компонент. Поставщик объясняет, что в соответствии с его определением «DoS на стороне сервера на пользовательской CSS является для нас низким риском (поскольку большинство пользователей компилируют собственный CSS с PostCSS)». Коммиты были доверены в филиал 6.x, который был самой скачиваемой версией.
Продукт не освобождает ресурс либо освобождает его некорректно до того, как он становится доступным для повторного использования.
https://cwe.mitre.org/data/definitions/404.html →Открыть в коллекции CWE →Злоумышленник потребляет ресурсы цели, в короткое время инициируя большое количество взаимодействий с ней. Данный тип атак, как правило, выявляет слабость в ограничении частоты запросов или в управлении потоком. В случае успеха атака лишает легитимных пользователей доступа к сервису и может привести к аварийному завершению работы цели. Данная атака отличается от исчерпания ресурсов посредством утечек или распределения: в последних атаках не задействуется объём запросов к цели, а основной акцент делается на манипулировании операциями цели. Ключевым фактором в атаке флудинга является количество запросов, которые злоумышленник может совершить за данный период времени: чем оно выше, тем выше вероятность успешной атаки против данной цели.
https://capec.mitre.org/data/definitions/125.html →Открыть в коллекции CAPEC →Злоумышленник вынуждает цель выделять избыточные ресурсы для обслуживания его запроса, тем самым сокращая объём ресурсов, доступных для легитимных сервисов, и ухудшая работу или приводя к отказу в обслуживании. Обычно данная атака направлена на распределение памяти, однако объектом атаки может быть любой конечный ресурс цели, включая пропускную способность, вычислительные циклы или иные ресурсы. В отличие от исчерпания ресурсов через флудинг, данная атака использует не большое количество запросов, а один или несколько тщательно сформированных запросов, вынуждающих цель выделять избыточные ресурсы для их обработки. Нередко атака использует уязвимость в цели, заставляя её выделять объём ресурсов, значительно превышающий потребности нормального запроса.
https://capec.mitre.org/data/definitions/130.html →Открыть в коллекции CAPEC →Злоумышленник использует утечку ресурсов цели для исчерпания доступного количества ресурсов, необходимых для обслуживания легитимных запросов.
https://capec.mitre.org/data/definitions/131.html →Открыть в коллекции CAPEC →Злоумышленник может выполнить атаку с фрагментацией TCP против цели с целью обхода фильтрующих правил средств защиты сети, пытаясь фрагментировать TCP-пакет таким образом, чтобы поле флагов заголовка оказалось во втором фрагменте, который, как правило, не фильтруется.
https://capec.mitre.org/data/definitions/494.html →Открыть в коллекции CAPEC →Злоумышленник может выполнить атаку с фрагментацией UDP против целевого сервера с целью потребления таких ресурсов, как полоса пропускания и процессорное время. Фрагментация IP происходит, когда IP-датаграмма превышает MTU маршрута, по которому она должна следовать. Как правило, злоумышленник использует UDP-пакеты размером более 1500 байт, что вынуждает выполнять фрагментацию, поскольку MTU Ethernet составляет 1500 байт. Данная атака является разновидностью обычного UDP-флуда, однако позволяет потреблять большую полосу пропускания меньшим числом пакетов. Кроме того, она потенциально способна потреблять ресурсы процессора сервера и переполнять буферы памяти, связанные с обработкой и повторной сборкой фрагментированных пакетов.
https://capec.mitre.org/data/definitions/495.html →Открыть в коллекции CAPEC →Злоумышленник может выполнить атаку с фрагментацией ICMP против цели с целью потребления ресурсов или вызова аварийного завершения работы. Злоумышленник формирует большое количество идентичных фрагментированных IP-пакетов, содержащих часть фрагментированного ICMP-сообщения. Злоумышленник отправляет эти сообщения на целевой хост, что приводит к его зависанию. Другим вектором может быть отправка фрагментированного ICMP-сообщения на целевой хост с некорректными размерами в заголовке, что также вызывает зависание хоста.
https://capec.mitre.org/data/definitions/496.html →Открыть в коллекции CAPEC →Злоумышленник использует Bluetooth-флуд для передачи крупных пакетов на устройства с поддержкой Bluetooth по протоколу L2CAP с целью создания отказа в обслуживании. Данная атака должна проводиться в непосредственной близости от устройства с поддержкой Bluetooth.
https://capec.mitre.org/data/definitions/666.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| node-css-loader | Отслеживается | |
| node-css-loader | Отслеживается | |
| node-css-loader | Отслеживается | |
| node-css-loader | Отслеживается |