Hochkritische ReDoS-Schwachstellen in minimatch (CVSS 7.5) gefährden JavaScript-Ökosystem

Das weit verbreitete Node.js-Paket `minimatch` enthält mehrere hochkritische Sicherheitslücken, die zu Denial-of-Service-Angriffen führen können. Die als HIGH eingestuften ReDoS-Schwachstellen (Regular Expression Denial of Service) in den Versionen ≤3.1.3 und 9.0.0–9.0.6 ermöglichen es Angreifern, durch speziell präparierte Eingaben die CPU eines Servers zu erschöpfen und ihn damit lahmzulegen. Diese Schwachstellen betreffen nicht nur direkte Nutzer, sondern verbreiten sich über transitive Abhängigkeiten in Tausenden von Projekten.

Die Schwachstellen sind in drei spezifischen GitHub Security Advisories dokumentiert: GHSA-3ppc-4f35-3m26 (ReDoS via wiederholte Wildcards), GHSA-7r86-cg39-jmmj (combinatorial backtracking in `matchOne()` mit CVSS-Score 7.5) und GHSA-23c5-xmqv-rm74 (nested extglob). Betroffen sind Pfade wie `node_modules/minimatch` und `node_modules/@typescript-eslint/typescript-estree/node_modules/minimatch`, was die tiefe Integration des Pakets in das JavaScript-Ökosystem unterstreicht.

Die Entdeckung setzt Entwickler und Sicherheitsteams unter erheblichen Druck, ihre Abhängigkeiten sofort zu überprüfen und zu patchen. Da `minimatch` eine Kernbibliothek für Dateipfad-Matching ist, erhöht sich das Risiko für Angriffe auf eine breite Palette von Anwendungen, von Build-Tools bis hin zu Webservern. Die indirekte Abhängigkeit macht die Schwachstelle besonders tückisch, da sie oft unbemerkt in die Lieferkette gelangt. Die fortlaufende Prüfung der Abhängigkeitsbäume wird nun zur kritischen Notwendigkeit, um die Angriffsfläche zu minimieren.