Katalog CVE

CVE-2026-9358

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.42%

Percentyl 34 - wyżej niż 34% wszystkich znanych CVE

Streszczenie

Wykryto podatność w postcss-selector-parser do wersji 6.1.2/7.1.2, dotycząca funkcji toString w pliku src/selectors/container.js. Manipulacja tą funkcją może prowadzić do niekontrolowanej rekurencji, co umożliwia zdalne przeprowadzenie ataku.

Ocena ryzyka

Podatność może prowadzić do ataków typu DoS, jednak według dostawcy ryzyko jest niskie, ponieważ większość użytkowników kompiluje własny CSS z PostCSS.

Rekomendacja

Zaleca się aktualizację do wersji 6.1.3 lub 7.1.3, aby załatać tę podatność.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was determined in postcss-selector-parser up to 6.1.2/7.1.2. Affected is the function toString of the file src/selectors/container.js of the component AST Serialization. Executing a manipulation can lead to uncontrolled recursion. It is possible to launch the attack remotely. The exploit has been publicly disclosed and may be utilized. Upgrading to version 6.1.3 and 7.1.3 is able to address this issue. This patch is called 5bc698cef66f8abd12610dc623e5d67cbc0f869d. It is suggested to upgrade the affected component. The vendor explains, that according to his definition "DoS on server-side on user-generated CSS is low risk for us (since most users compile own CSS with PostCSS)." The commits were backported to 6.x branch, which was the most downloaded version.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS