Czy minimatch naprawdę ma poważne luki w zabezpieczeniach?
Czy minimatch naprawdę ma poważne luki w zabezpieczeniach?
W dniu 24 lutego GitHub opublikował dwa wysoko krytyczne ostrzeżenia dotyczące bezpieczeństwa dla popularnego pakietu npm minimatch. Już wcześniej, 16 lutego, pojawiło się trzecie ostrzeżenie o wysokiej wadze. Wszystkie trzy luki mogą prowadzić do ataków Regular Expression Denial of Service (ReDoS) oraz do głodzenia pętli zdarzeń w Node.js, gdy przetwarzane są złośliwe wzorce glob.
Socket, firma odpowiedzialna za rozwój pakietu, udostępnia darmowe certyfikowane poprawki dla wszystkich trzech problemów. Oto szczegóły dotyczące ostrzeżeń:
- GHSA-23c5-xmqv-rm74 (CVE-2026-27904) — opublikowane 24 lutego
- GHSA-7r86-cg39-jmmj (CVE-2026-27903) — opublikowane 24 lutego
- GHSA-3ppc-4f35-3m26 (CVE-2026-26996) — opublikowane 16 lutego
Poprawki były koordynowane z maintainerem minimatch, Isaacem Schlueterem. Inżynier Socket, Jordan Harband, współpracował z Isaaciem, aby wprowadzić poprawki do dotkniętych głównych wersji.
Warto zwrócić uwagę na wpływ tego ekosystemu, ponieważ minimatch jest fundamentem wielu aplikacji opartych na Node.js.
Na podstawie: Źródła
![Podsumowanie: marketingowy kompromis roboczy [2007-05-17]](https://www.czq.pl/CDN/wp_images/181.webp)
![Marketingowy Flash: zasięgi, które miały dowieźć [2007-05-18]](https://www.czq.pl/CDN/wp_images/91.webp)
![Marketingowa Kawka: marketingowy status: to skomplikowane [2007-05-19]](https://www.czq.pl/CDN/wp_images/22.webp)
![Marketingowy Przegląd: raport z pola walki o zasięgi [2007-05-20]](https://www.czq.pl/CDN/wp_images/289.webp)
![Marketingowe Espresso: marketingowa rzeczywistość po godzinach [2007-05-21]](https://www.czq.pl/CDN/wp_images/152.webp)