CVSS: 7.5EPSS: 0%CPEs: 1EXPL: 1CVE-2022-21222 – Regular Expression Denial of Service (ReDoS)
https://notcve.org/view.php?id=CVE-2022-21222
The package css-what before 2.1.3 are vulnerable to Regular Expression Denial of Service (ReDoS) due to the usage of insecure regular expression in the re_attr variable of index.js. The exploitation of this vulnerability could be triggered via the parse function. El paquete css-what versiones anteriores a 2.1.3, es vulnerable a una Denegación de Servicio por Expresión Regular (ReDoS) debido al uso de una expresión regular no segura en la variable re_attr del archivo index.js. La explotación de esta vulnerabilidad podría desencadenarse por medio de la función parse • https://github.com/fb55/css-what/blob/a38effd5a8f5506d75c7f8f13cbd8c76248a3860/index.js%23L12 https://lists.debian.org/debian-lts-announce/2023/03/msg00001.html https://security.snyk.io/vuln/SNYK-JS-CSSWHAT-3035488 • CWE-1333: Inefficient Regular Expression Complexity •
CVSS: 7.5EPSS: 0%CPEs: 3EXPL: 0CVE-2021-33587
https://notcve.org/view.php?id=CVE-2021-33587
The css-what package 4.0.0 through 5.0.0 for Node.js does not ensure that attribute parsing has Linear Time Complexity relative to the size of the input. El paquete css-what versión 4.0.0 hasta la versión 5.0.0 para Node.js no asegura que el análisis sintáctico de atributos tenga una complejidad de tiempo lineal en relación con el tamaño de la entrada • https://github.com/fb55/css-what/releases/tag/v5.0.1 https://lists.debian.org/debian-lts-announce/2023/03/msg00001.html https://security.netapp.com/advisory/ntap-20210706-0007 •