El equipo de Express ha publicado nuevas versiones de parche de path-to-regexp que abordan tres vulnerabilidades de denegación de servicio por expresiones regulares.
Advertencia
Recomendamos actualizar a la última versión de path-to-regexp para asegurar tus aplicaciones. Si tienes un package-lock.json, puedes actualizar la dependencia ejecutando:
npm update path-to-regexpLas siguientes vulnerabilidades han sido corregidas:
- CVE-2026-4867 en el módulo utilitario path-to-regexp (Alta)
- CVE-2026-4926 en el módulo utilitario path-to-regexp (Alta)
- CVE-2026-4923 en el módulo utilitario path-to-regexp (Media)
CVE-2026-4867 en el módulo utilitario path-to-regexp (Alta)
Las versiones de path-to-regexp <= 0.1.12 son vulnerables a denegación de servicio por expresiones regulares mediante múltiples parámetros de ruta
Se genera una expresión regular problemática siempre que tengas tres o más parámetros dentro de un solo segmento, separados por algo que no sea un punto. Por ejemplo, /:a-:b-:c. La protección de retroceso añadida en v0.1.12 solo previene la ambigüedad para dos parámetros. Con tres o más, el lookahead generado no bloquea caracteres separadores individuales, causando retroceso catastrófico.
Affected versions: <= 0.1.12
Patched version: >= 0.1.13
Para más detalles, consulta GHSA-37ch-88jc-xwx2.
CVE-2026-4926 en el módulo utilitario path-to-regexp (Alta)
Las versiones de path-to-regexp >= 8.0.0 son vulnerables a denegación de servicio mediante grupos opcionales secuenciales
Se genera una expresión regular problemática siempre que tengas múltiples grupos opcionales secuenciales, como {a}{b}{c}:z. La expresión regular generada crece exponencialmente con el número de grupos, causando denegación de servicio. Evita pasar entrada controlada por el usuario como patrones de ruta.
Affected versions: >= 8.0.0
Patched version: >= 8.4.0
Para más detalles, consulta GHSA-j3q9-mxjg-w52f.
CVE-2026-4923 en el módulo utilitario path-to-regexp (Media)
Las versiones de path-to-regexp >= 8.0.0, <= 8.3.0 son vulnerables a denegación de servicio por expresiones regulares mediante múltiples comodines
Cuando se usan múltiples comodines combinados con al menos un parámetro, se puede generar una expresión regular vulnerable a ReDoS. El segundo comodín debe estar en algún lugar que no sea el final de la ruta. Por ejemplo, /*foo-*bar-:baz.
Affected versions: >= 8.0.0, <= 8.3.0
Patched version: >= 8.4.0
Para más detalles, consulta GHSA-27v5-c462-wpq7.
Recomendamos actualizar a la última versión de path-to-regexp para asegurar tus aplicaciones.