picomatch 4.0.0–4.0.3: Hochrisiko-ReDoS & Method Injection Schwachstellen (CVSS 7.5) in weit verbreiteter Glob-Bibliothek

Die JavaScript-Bibliothek `picomatch`, eine zentrale Komponente für Glob-Matching in Node.js-Projekten, weist in den Versionen 4.0.0 bis 4.0.3 zwei kritische Sicherheitslücken auf. Eine davon ist eine ReDoS-Schwachstelle mit einem CVSS-Score von 7.5, die Angreifern ermöglicht, Server durch speziell präparierte Eingaben in einen Denial-of-Service-Zustand zu versetzen. Die zweite Schwachstelle erlaubt eine Method Injection, die zu inkorrekten Glob-Matches führen kann. Beide Lücken sind in der aktuellen Version 4.0.4 gepatcht.

Die ReDoS-Schwachstelle (CWE-1333) wird durch Extglob-Quantifier in `picomatch` verursacht, die reguläre Ausdrücke mit katastrophalem Backtracking erzeugen. Dies kann die CPU-Auslastung eines Servers durch einen einzigen, böswilligen Aufruf massiv erhöhen und den Dienst unbrauchbar machen. Die Method Injection (CWE-1321) in POSIX-Zeichenklassen kann dazu führen, dass Glob-Muster falsch ausgewertet werden, was Sicherheitskonturen in Anwendungen untergraben könnte. Die Lücken betreffen alle Versionen ab 4.0.0 bis vor 4.0.4.

Da `picomatch` eine transitive Abhängigkeit in Tausenden von Node.js-Projekten ist, stellt diese Entdeckung ein erhebliches, verstecktes Risiko für die gesamte Ökosystem-Sicherheit dar. Entwickler müssen ihre Abhängigkeitsbäume dringend auf die betroffenen Versionen überprüfen und ein Update auf `[email protected]` durchführen. Die fortgesetzte Nutzung der anfälligen Versionen setzt Webanwendungen einem hohen Risiko von Verfügbarkeitsangriffen und unerwartetem Verhalten aus.