CVE-2026-33671

Picomatch è un matcher di glob scritto in JavaScript. Le versioni precedenti alla 4.0.4, 3.0.2 e 2.3.2 sono vulnerabili a Regular Expression Denial of Service (ReDoS) quando elaborano pattern extglob appositamente costruiti. Alcuni pattern che utilizzano quantificatori extglob come `+()` e `*()`, specialmente quando combinati con alternative sovrapposte o extglob annidati, vengono compilati in espressioni regolari che possono mostrare backtracking catastrofico su input non corrispondenti. Le applicazioni sono interessate quando consentono a utenti non affidabili di fornire pattern glob che vengono passati a `picomatch` per compilazione o confronto. In tali casi, un attaccante può causare un consumo eccessivo di CPU e bloccare l'event loop di Node.js, risultando in un denial of service. Le applicazioni che utilizzano solo pattern glob affidabili e controllati dagli sviluppatori sono molto meno suscettibili a rischi di sicurezza rilevanti. Questo problema è stato risolto in picomatch 4.0.4, 3.0.2 e 2.3.2. Gli utenti dovrebbero aggiornare a una di queste versioni o successive, in base alla loro linea di rilascio supportata. Se l’aggiornamento immediato non è possibile, evitare di passare pattern glob non affidabili a `picomatch`. Le possibili mitigazioni includono disabilitare il supporto extglob per pattern non affidabili utilizzando `noextglob: true`, rifiutare o sanificare pattern contenenti extglob annidati o quantificatori extglob come `+()` e `*()`, applicare liste di autorizzazione rigorose per la sintassi dei pattern accettati, eseguire il confronto in un worker isolato o in un processo separato con limiti di tempo e risorse, e applicare throttling delle richieste a livello applicativo e validazione degli input per qualsiasi endpoint che accetti pattern glob.