seguridad

Lanzamientos de seguridad de marzo 2026

Ulises Gascon
Ulises Gascon March 30, 2026

El equipo de Express ha publicado nuevas versiones de parche de path-to-regexp que abordan tres vulnerabilidades de denegación de servicio por expresiones regulares.

Advertencia

Recomendamos actualizar a la última versión de path-to-regexp para asegurar tus aplicaciones. Si tienes un package-lock.json, puedes actualizar la dependencia ejecutando:

Ventana de terminal
npm update path-to-regexp

Las siguientes vulnerabilidades han sido corregidas:

CVE-2026-4867 en el módulo utilitario path-to-regexp (Alta)

Las versiones de path-to-regexp <= 0.1.12 son vulnerables a denegación de servicio por expresiones regulares mediante múltiples parámetros de ruta

Se genera una expresión regular problemática siempre que tengas tres o más parámetros dentro de un solo segmento, separados por algo que no sea un punto. Por ejemplo, /:a-:b-:c. La protección de retroceso añadida en v0.1.12 solo previene la ambigüedad para dos parámetros. Con tres o más, el lookahead generado no bloquea caracteres separadores individuales, causando retroceso catastrófico.

Affected versions: <= 0.1.12 Patched version: >= 0.1.13

Para más detalles, consulta GHSA-37ch-88jc-xwx2.

CVE-2026-4926 en el módulo utilitario path-to-regexp (Alta)

Las versiones de path-to-regexp >= 8.0.0 son vulnerables a denegación de servicio mediante grupos opcionales secuenciales

Se genera una expresión regular problemática siempre que tengas múltiples grupos opcionales secuenciales, como {a}{b}{c}:z. La expresión regular generada crece exponencialmente con el número de grupos, causando denegación de servicio. Evita pasar entrada controlada por el usuario como patrones de ruta.

Affected versions: >= 8.0.0 Patched version: >= 8.4.0

Para más detalles, consulta GHSA-j3q9-mxjg-w52f.

CVE-2026-4923 en el módulo utilitario path-to-regexp (Media)

Las versiones de path-to-regexp >= 8.0.0, <= 8.3.0 son vulnerables a denegación de servicio por expresiones regulares mediante múltiples comodines

Cuando se usan múltiples comodines combinados con al menos un parámetro, se puede generar una expresión regular vulnerable a ReDoS. El segundo comodín debe estar en algún lugar que no sea el final de la ruta. Por ejemplo, /*foo-*bar-:baz.

Affected versions: >= 8.0.0, <= 8.3.0 Patched version: >= 8.4.0

Para más detalles, consulta GHSA-27v5-c462-wpq7.


Recomendamos actualizar a la última versión de path-to-regexp para asegurar tus aplicaciones.

¿Interesado en escribir una publicación? Revisa nuestras directrices para empezar.

Leer las directrices