Een beveiligingslek met de code CVE-2025-9308 is ontdekt in yarnpkg Yarn tot versie 1.22.22. Deze kwetsbaarheid betreft de setOptions functie in het bestand src/util/request-manager.js en kan leiden tot inefficiënte reguliere expressie-complexiteit, wat een risico op resource-uitputting met zich meebrengt.
Hoewel lokale toegang nodig is om deze aanval uit te voeren, kan een kwaadwillende toegang krijgen tot de onondersteunde systemen. Zorg ervoor dat uw versies up-to-date zijn om mogelijke risico’s te minimaliseren.
Overzicht
- Product: Yarn
- Aangetaste versies: 1.22.0 t/m 1.22.22
- CWE: Inefficiënte reguliere expressie-complexiteit (CWE-1333), Resourcegebruik (CWE-400)
- CVSS Scores: CVSSv4.0: 4.8, CVSSv3.1: 3.3, CVSSv3.0: 3.3, CVSSv2.0: 1.7
Bronnen
- VDB-320913 | yarnpkg Yarn request-manager.js setOptions redos
- VDB-320913 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #633486 | yarn Yarn src/util/request-manager.js v1.22.22 Inefficient Regular Expression Complexity
- GitHub Issue Tracking
Vraag en Antwoord
Wat is CVE-2025-9308?
Dit is een gevestigde kwetsbaarheid in yarnpkg Yarn tot versie 1.22.22 die de setOptions functie betreft en kan leiden tot inefficiënt gebruik van reguliere expressie waardoor systeembronnen kunnen worden uitgeput.
Welke systemen zijn kwetsbaar voor CVE-2025-9308?
Alle systemen die Yarn versies 1.22.0 tot 1.22.22 draaien, vallen onder de aangetaste lijst. Deze producten worden momenteel niet meer ondersteund door de beheerder.
Bestaat er al een patch of beveiligingsupdate?
Aangezien de getroffen producten niet langer worden ondersteund, is het raadzaam om kritisch te kijken naar updates van het product of andere technische mitigatie strategieën toe te passen.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan door deze kwetsbaarheid de systemen overbelasten door inefficiënte verwerking van reguliere expressies, waardoor het systeem traag wordt of zelfs geheel uitvalt.
