Czy minimatch naprawdę ma poważne luki w zabezpieczeniach?

Czy minimatch naprawdę ma poważne luki w zabezpieczeniach?

2026-02-28 23:20 Redakcja

W dniu 24 lutego GitHub opublikował dwa wysoko krytyczne ostrzeżenia dotyczące bezpieczeństwa dla popularnego pakietu npm minimatch. Już wcześniej, 16 lutego, pojawiło się trzecie ostrzeżenie o wysokiej wadze. Wszystkie trzy luki mogą prowadzić do ataków Regular Expression Denial of Service (ReDoS) oraz do głodzenia pętli zdarzeń w Node.js, gdy przetwarzane są złośliwe wzorce glob.

Socket, firma odpowiedzialna za rozwój pakietu, udostępnia darmowe certyfikowane poprawki dla wszystkich trzech problemów. Oto szczegóły dotyczące ostrzeżeń:

• GHSA-23c5-xmqv-rm74 (CVE-2026-27904) — opublikowane 24 lutego
• GHSA-7r86-cg39-jmmj (CVE-2026-27903) — opublikowane 24 lutego
• GHSA-3ppc-4f35-3m26 (CVE-2026-26996) — opublikowane 16 lutego

Poprawki były koordynowane z maintainerem minimatch, Isaacem Schlueterem. Inżynier Socket, Jordan Harband, współpracował z Isaaciem, aby wprowadzić poprawki do dotkniętych głównych wersji.

Warto zwrócić uwagę na wpływ tego ekosystemu, ponieważ minimatch jest fundamentem wielu aplikacji opartych na Node.js.

Najnowsze wiadomosci ⚡📰

Nie przegap żadnego trendu, hacka ani dramy w świecie marketingu! 🧠
Mamy już ponad 155 000 artykułów i codziennie dorzucamy 50–100 nowych perełek z SEO, PR, social mediów, reklam, AI i brandingu. Do tego wywiady, nowe narzędzia pozwalające dowieźć wyniki i nutka prawa oraz bezpieczeństwa. Wszystko podane w starupowym sosie, który nigdy sie nie nudzi.
Zapisz się teraz, a Twoja skrzynka stanie się potężniejsza niż raporty z Analyticsa.