Специалисты по кибербезопасности и разработчики экосистемы Node.js столкнулись с новой серьезной угрозой. В Банке данных угроз безопасности информации (BDU) под идентификатором BDU:2026-01718 зарегистрирована уязвимость в популярной библиотеке "brace-expansion", используемой для расширения скобочных выражений в строках. Проблема, получившая идентификатор CVE-2026-25547, оценивается как критическая по шкале CVSS 4.0 с баллом 9.2. Её эксплуатация позволяет удаленному злоумышленнику вызвать полный отказ в обслуживании (DoS) уязвимых приложений.
Детали уязвимости
Уязвимость кроется в модуле "juliangruber/brace-expansion", который является зависимостью для многих инструментов и пакетов в экосистеме Node.js. Техническая суть проблемы классифицируется как CWE-1333 - использование регулярных выражений с неэффективной вычислительной сложностью. Проще говоря, специально сформированный злоумышленником входной данные могут заставить алгоритм обработки регулярных выражений работать экспоненциально долго. Это приводит к исчерпанию вычислительных ресурсов процессора, полной остановке работы приложения и, как следствие, к недоступности сервиса для легитимных пользователей.
Особую тревогу вызывает широта потенциального воздействия. Уязвимыми признаны все версии библиотеки "brace-expansion" до 5.0.0 включительно. Поскольку эта библиотека часто включается в цепочки зависимостей косвенно, под угрозой могут оказаться тысячи приложений, даже если их разработчики напрямую не использовали данный модуль. Кроме того, в записи BDU указаны две конкретные версии среды выполнения Node.js - 24.13.0 и 25.3.0, однако проблема, вероятно, затрагивает и другие релизы, использующие устаревшие версии библиотеки.
Важно отметить, что, согласно данным BDU, способ эксплуатации уже существует в открытом доступе. Это значительно повышает риски, так как снижает порог входа для потенциальных атакующих. Они могут использовать относительно простые скрипты для проведения масштабных DoS-атак на уязвимые веб-сервисы, API или сетевые приложения, построенные на Node.js. При этом, согласно вектору CVSS, для атаки не требуются какие-либо специальные привилегии или взаимодействие с пользователем, что делает уязвимость особенно опасной.
К счастью, ситуация не является безнадежной. Производитель подтвердил наличие уязвимости и оперативно устранил её. Основной и обязательной мерой защиты является обновление программного обеспечения. Разработчикам и системным администраторам необходимо убедиться, что в их проектах используется "brace-expansion" версии 5.0.1 или выше. Актуальные патчи и подробная техническая информация доступны в официальном бюллетене безопасности на GitHub по ссылке, указанной в BDU.
Эксперты рекомендуют немедленно провести аудит всех проектов на Node.js. Для этого можно использовать встроенные средства управления зависимостями, такие как "npm audit", или сторонние сканеры уязвимостей. Поскольку обновление может быть затруднено, следует рассмотреть возможность временных мер. Например, можно внедрить средства контроля входящего трафика (WAF) для фильтрации потенциально вредоносных шаблонов строк, которые могут запустить уязвимый код.
Данный инцидент в очередной раз подчеркивает важность поддержания актуальности всех компонентов программного стека, включая косвенные зависимости. Уязвимости в широко используемых библиотеках, подобных "brace-expansion", создают эффект домино, угрожая безопасности множества приложений по всему миру. Своевременное применение патчей остается самым эффективным способом защиты от подобных угроз. Следовательно, организациям необходимо выстроить четкий и оперативный процесс управления обновлениями в рамках своего жизненного цикла разработки программного обеспечения (SDLC) и обеспечения безопасности.
Ссылки
- https://bdu.fstec.ru/vul/2026-01718
- https://www.cve.org/CVERecord?id=CVE-2026-25547
- https://github.com/isaacs/brace-expansion/security/advisories/GHSA-7h2j-956f-4vf2
