CVE-2026-53550
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece js-yaml przed wersjami 4.2.0 i 3.15.0 pozwala na atak DoS poprzez wysłanie spreparowanego dokumentu YAML z wielokrotnie powtarzanym aliasem w sekwencji scalania (<<). Powoduje to kwadratową złożoność czasową przetwarzania, co może zablokować pętlę zdarzeń Node.js na kilka sekund przy stosunkowo małym ładunku (kilkadziesiąt KB).
Ocena ryzyka
Atakujący może zdalnie spowodować odmowę usługi (DoS) aplikacji Node.js używającej js-yaml do parsowania niezaufanych danych YAML, blokując jej działanie na kilka sekund nawet przy małym ładunku.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę js-yaml do wersji 4.2.0 lub nowszej (dla gałęzi 4.x) albo 3.15.0 lub nowszej (dla gałęzi 3.x).
Oryginalny opis (angielski, źródło NVD)
js-yaml is a JavaScript YAML parser and dumper. Prior to 4.2.0 and 3.15.0, a crafted YAML document can trigger algorithmic CPU exhaustion in js-yaml merge-key processing (<<) by repeating the same alias many times in a merge sequence. This causes quadratic parse-time behavior relative to input size and can block a Node.js worker/event loop for seconds with a relatively small payload (tens of KB), resulting in denial of service. The issue is in merge handling inside lib/loader.js. This vulnerability is fixed in 4.2.0 and 3.15.0.

