Высокая уязвимость обнаружена в зависимости (отладка NPM) mocha
Как исправить: в пакете отладки обнаружена уязвимость (неэффективная сложность регулярных выражений)
Недавно я запустил сканирование безопасности с помощью Checkmarx One и обнаружил высокую уязвимость в пакете отладки npm.
Пакет: отладка
Версия: 4.3.4 (последняя)
CWE: CWE-1333 (неэффективная сложность регулярных выражений)
Описание: При отладке NPM функция включения принимает регулярное выражение из пользовательского ввода, не экранируя его. Могут быть внедрены произвольные регулярные выражения, чтобы вызвать атаку типа «отказ в обслуживании» на браузер пользователя, также известную как ReDoS (отказ в обслуживании с помощью регулярных выражений). Это другая проблема, чем CVE-2017-16137.
Я не устанавливал и не использовал пакет отладки напрямую. Это зависимость от следующих пакетов, которые я сейчас использую:
- мокко @ 10.2.0
- мокко-юнит-репортер @ 2.2.0
- супертест @ 6.3.3
- гигиена @ 6.2.11
Есть ли какие-либо рекомендуемые способы устранения этой уязвимости?