Vulnerabilità: CVE-2020-26256

Fast-csv è un pacchetto npm per l’analisi e la formattazione CSVs o qualsiasi altro file valore delimitata nel nodo. Nel fast-cvs prima versione 4.3.6 c’è un possibile REDOS vulnerabilità (Regular Expression Denial of Service) quando si utilizza l’opzione ignoreEmpty durante l’analisi. Questo è stato aggiornato in `v4.3.6` Sarete colpiti solo da questo se si utilizza l’opzione di analisi` ignoreEmpty`. Se si utilizza questa opzione, si consiglia di effettuare l’aggiornamento alla versione più recente `v4.3.6` Questa vulnerabilità è stata trovata utilizzando una query CodeQL che ha individuato` EMPTY_ROW_REGEXP` espressione regolare come vulnerabile.


https://github.com/C2FO/fast-csv/security/advisories/GHSA-8cv5-p934-3hwp
https://github.com/C2FO/fast-csv/security/advisories/GHSA-8cv5-p934-3hwp
https://github.com/C2FO/fast-csv/commit/4bbd39f26a8cd7382151ab4f5fb102234b2f829e
https://github.com/C2FO/fast-csv/commit/4bbd39f26a8cd7382151ab4f5fb102234b2f829e
https://github.com/C2FO/fast-csv/issues/540
https://github.com/C2FO/fast-csv/issues/540
https://lgtm.com/query/8609731774537641779/
https://lgtm.com/query/8609731774537641779/
https://www.npmjs.com/package/@fast-csv/parse
https://www.npmjs.com/package/@fast-csv/parse
https://www.npmjs.com/package/fast-csv
https://www.npmjs.com/package/fast-csv
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-26256


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi