Katalog CVE

CVE-2026-53550

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.26%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece js-yaml przed wersjami 4.2.0 i 3.15.0 pozwala na atak DoS poprzez wysłanie spreparowanego dokumentu YAML z wielokrotnie powtarzanym aliasem w sekwencji scalania (<<). Powoduje to kwadratową złożoność czasową przetwarzania, co może zablokować pętlę zdarzeń Node.js na kilka sekund przy stosunkowo małym ładunku (kilkadziesiąt KB).

Ocena ryzyka

Atakujący może zdalnie spowodować odmowę usługi (DoS) aplikacji Node.js używającej js-yaml do parsowania niezaufanych danych YAML, blokując jej działanie na kilka sekund nawet przy małym ładunku.

Rekomendacja

Należy natychmiast zaktualizować bibliotekę js-yaml do wersji 4.2.0 lub nowszej (dla gałęzi 4.x) albo 3.15.0 lub nowszej (dla gałęzi 3.x).

Oryginalny opis (angielski, źródło NVD)

js-yaml is a JavaScript YAML parser and dumper. Prior to 4.2.0 and 3.15.0, a crafted YAML document can trigger algorithmic CPU exhaustion in js-yaml merge-key processing (<<) by repeating the same alias many times in a merge sequence. This causes quadratic parse-time behavior relative to input size and can block a Node.js worker/event loop for seconds with a relatively small payload (tens of KB), resulting in denial of service. The issue is in merge handling inside lib/loader.js. This vulnerability is fixed in 4.2.0 and 3.15.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS