CVE-2026-9358
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 34 - wyżej niż 34% wszystkich znanych CVE
Streszczenie
Wykryto podatność w postcss-selector-parser do wersji 6.1.2/7.1.2, dotycząca funkcji toString w pliku src/selectors/container.js. Manipulacja tą funkcją może prowadzić do niekontrolowanej rekurencji, co umożliwia zdalne przeprowadzenie ataku.
Ocena ryzyka
Podatność może prowadzić do ataków typu DoS, jednak według dostawcy ryzyko jest niskie, ponieważ większość użytkowników kompiluje własny CSS z PostCSS.
Rekomendacja
Zaleca się aktualizację do wersji 6.1.3 lub 7.1.3, aby załatać tę podatność.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was determined in postcss-selector-parser up to 6.1.2/7.1.2. Affected is the function toString of the file src/selectors/container.js of the component AST Serialization. Executing a manipulation can lead to uncontrolled recursion. It is possible to launch the attack remotely. The exploit has been publicly disclosed and may be utilized. Upgrading to version 6.1.3 and 7.1.3 is able to address this issue. This patch is called 5bc698cef66f8abd12610dc623e5d67cbc0f869d. It is suggested to upgrade the affected component. The vendor explains, that according to his definition "DoS on server-side on user-generated CSS is low risk for us (since most users compile own CSS with PostCSS)." The commits were backported to 6.x branch, which was the most downloaded version.

