O projeto Zed Attack Proxy (ZAP) informou um vazamento de memória no motor JavaScript que passa a afetar varreduras ativas (active scan) em determinadas configurações. A inconsistência surgiu após a inclusão de uma nova regra de varredura JavaScript no add‑on OpenAPI.
Descrição do problema
Os mantenedores do ZAP alertaram, em comunicado do dia 28/01/2026, que o motor JavaScript apresenta um leak de memória que se manifesta durante varreduras ativas, levando à exaustão rápida de memória em sessões longas. O bug provavelmente existe há algum tempo, mas tornou‑se operacionalmente relevante após o update que adicionou a regra JS no add‑on OpenAPI.
“We have become aware of a memory leak in the JavaScript engine. That has probably been there for some time, but will now affect anyone using the active scan due to the addition of a new JS scan rule in the OpenAPI add‑on. We are working on a fix as a matter of urgency.” — Zed Attack Proxy (tweet citado no advisory)
Impacto
- Crashes ou travamentos em sessões de varredura ativa, interrompendo descobertas automatizadas de vulnerabilidades.
- Consumo elevado de recursos nas máquinas que executam o scanner — risco em pipelines CI/CD e em imagens Docker usadas em escala.
- Atraso em avaliações de segurança: equipes DevSecOps que dependem de varreduras automáticas podem ter de rever cronogramas até que o problema seja resolvido.
Mitigações e atualizações disponibilizadas
Como medida imediata, o add‑on OpenAPI foi atualizado para desabilitar por padrão a regra JS problemática; os releases Nightly e Weekly já receberam correções, e imagens Docker (Weekly/Live) foram atualizadas. A release estável ainda aguarda a correção de raiz. Recomendações práticas dadas pelos mantenedores:
- Atualizar para as versões Nightly/Weekly atualizadas se for necessário usar varreduras ativas em ambientes controlados para teste.
- Para produção, aplicar a imagem Weekly atualizada e reconstruir containers conforme necessário.
- Verificar a versão instalada com zaproxy --version antes de reativar a regra JS; reabilitar somente após confirmação do fix definitivo.
- Como contingência, usar varreduras passivas ou ferramentas alternativas (o advisory cita Burp Suite como opção) até a estabilização.
O que ainda não está claro
O comunicado não detalha o motivo interno que origina o leak no motor JavaScript (por exemplo, alocação específica ou falha de garbage collection) nem fornece métricas públicas sobre quantos usuários ou infraestruturas foram afetadas. Tampouco há evidência de que aplicações escaneadas fiquem vulneráveis por conta do bug — o problema é de disponibilidade e confiabilidade da ferramenta de teste, não de exposição direta das aplicações alvo.
Implicações para prática de segurança
Ferramentas de DAST integradas em pipelines automatizados precisam ser estáveis para garantir que falhas no processo de verificação não atrasem correções em produção. Equipes de segurança devem revisar jobs de CI/CD que executam ZAP, garantir limites de recursos, monitorar uso de memória das instâncias de scanner e atualizar as imagens conforme as recomendações dos mantenedores.
Conclusão
O vazamento de memória no motor JavaScript do ZAP compromete a confiabilidade das varreduras ativas; o projeto já publicou atualizações que desativam a regra problemática por padrão e disponibilizou builds Nightly/Weekly e Docker atualizados. Organizações devem aplicar as versões atualizadas, limitar uso em produção até o fix definitivo e considerar alternativas temporárias para manter a cobertura de teste.