Description
A vulnerability has been found in yarnpkg Yarn up to 1.22.22. This impacts the function setOptions of the file src/util/request-manager.js. Such manipulation leads to inefficient regular expression complexity. Local access is required to approach this attack. This vulnerability only affects products that are no longer supported by the maintainer.
Es wurde eine Schwachstelle in yarnpkg Yarn bis 1.22.22 entdeckt. Betroffen hiervon ist die Funktion setOptions der Datei src/util/request-manager.js. Mittels dem Manipulieren mit unbekannten Daten kann eine inefficient regular expression complexity-Schwachstelle ausgenutzt werden. Der Angriff muss auf lokaler Ebene erfolgen.
Problem types
Inefficient Regular Expression Complexity
Product status
1.22.1
1.22.2
1.22.3
1.22.4
1.22.5
1.22.6
1.22.7
1.22.8
1.22.9
1.22.10
1.22.11
1.22.12
1.22.13
1.22.14
1.22.15
1.22.16
1.22.17
1.22.18
1.22.19
1.22.20
1.22.21
1.22.22
Timeline
| 2025-08-21: | Advisory disclosed |
| 2025-08-21: | VulDB entry created |
| 2025-08-21: | VulDB entry last update |
Credits
mmmsssttt (VulDB User)
References
vuldb.com/?id.320913 (VDB-320913 | yarnpkg Yarn request-manager.js setOptions redos)
vuldb.com/?ctiid.320913 (VDB-320913 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.633486 (Submit #633486 | yarn Yarn src/util/request-manager.js v1.22.22 Inefficient Regular Expression Complexity)
github.com/yarnpkg/yarn/pull/9203
