Wiz se unirá a Google Cloud: Haciendo magia juntos

Base de datos de vulnerabilidadesGHSA-v3rj-xjv7-4jmq

GHSA-v3rj-xjv7-4jmq:
JavaScript Análisis y mitigación de vulnerabilidades

Summary

An attacker can send a maliciously crafted TOML to cause the parser to crash, because of a stack overflow caused by thousands of consecutive commented lines. The library uses recursion internally while parsing to skip over commented lines, which can be exploited to crash an application that is processing arbitrary TOML documents.

Proof of concept

require("smol-toml").parse('# comment\n'.repeat(8000) + 'key = "value"')

Impact

Applications which parse arbitrary TOML documents may suffer availability issues if they receive malicious input. If uncaught, the crash may cause the application itself to crash. The impact is deemed minor, as the function is already likely to throw errors on invalid input. Downstream users are supposed to properly handle errors in such situations. Due to the design of most JavaScript runtimes, the uncontrolled recursion does not lead to excessive memory usage and the execution is quickly aborted. As a reminder, it is strongly advised when working with untrusted user input to expect errors to occur and to appropriately catch them.

Patches

Version 1.6.1 uses a different approach for parsing comments, which no longer involves recursion.

Workarounds

Wrap all invocations of parse and stringify in a try/catch block when dealing with untrusted user input.

Fuente: NVD

Visualización de instancias vulnerables

¿No eres cliente? Mira cómo Wiz mapea CVEs como este a rutas reales de ataque en la nube.

Ver demostración de 12 minutos

5.3

Puntuación

Publicado March 25, 2026

Severidad MEDIUM

Puntuación CNA N/A

Tecnologías afectadas

JavaScript

Tiene exploit público No

Tiene el exploit CISA KEV No

Fecha de lanzamiento de CISA KEV N/A

Fecha de vencimiento de CISA KEV N/A

Percentil de probabilidad de explotación (EPSS) N/A

Probabilidad de Explotación (EPSS) N/A

Paquetes y bibliotecas afectados

smol-toml

Fuentes

NVD
GitHub Advisory Database
- npm Severidad MEDIUMTiene ArregloAñadido en:Mar 26, 2026

Obtén una evaluación de riesgo CVE

Obtén una vista priorizada de los CVEs en tu nube, para que puedas centrarte en lo que es explotable, no solo en lo que está listado.

Solicitar evaluación

Relacionado JavaScript Vulnerabilidades:

CVE ID	Severidad	Puntuación	Tecnologías	Nombre del componente	Exploit de CISA KEV	Tiene arreglo	Fecha de publicación
GHSA-3hfp-gqgh-xc5g	CRITICAL	9.6	JavaScript	@lightdash/cli	No	Sí	Apr 02, 2026
CVE-2026-34950	CRITICAL	9.1	JavaScript	fast-jwt	No	No	Apr 02, 2026
CVE-2026-34752	HIGH	8.7	JavaScript	haraka	No	Sí	Apr 02, 2026
CVE-2026-34825	HIGH	8.5	JavaScript	@nocobase/plugin-workflow-sql	No	Sí	Apr 02, 2026
GHSA-ccgf-5rwj-j3hv	LOW	2.1	JavaScript	telejson	No	Sí	Apr 02, 2026

Evaluación gratuita de vulnerabilidades

Compare su postura de seguridad en la nube

Evalúe sus prácticas de seguridad en la nube en 9 dominios de seguridad para comparar su nivel de riesgo e identificar brechas en sus defensas.

Solicitar evaluación

Recursos adicionales de Wiz

Obtén una demostración personalizada

¿Listo para ver a Wiz en acción?

"La mejor experiencia de usuario que he visto en mi vida, proporciona una visibilidad completa de las cargas de trabajo en la nube."

David EstlickCISO

"Wiz proporciona un panel único para ver lo que ocurre en nuestros entornos en la nube."

Adam FletcherJefe de Seguridad

"Sabemos que si Wiz identifica algo como crítico, en realidad lo es."

Greg PoniatowskiJefe de Gestión de Amenazas y Vulnerabilidades

Solicita una demo

GHSA-v3rj-xjv7-4jmq: JavaScript Análisis y mitigación de vulnerabilidades