Braces库中的正则表达式拒绝服务漏洞

本文详细介绍了在npm包braces的2.2.0至2.3.1版本中发现的一个正则表达式拒绝服务安全漏洞。该漏洞允许攻击者通过精心构造的输入导致资源耗尽，并已在2.3.1版本中得到修复。

正则表达式拒绝服务 (ReDoS) 漏洞 - CVE-2018-1109

漏洞详情

受影响的包

npm: braces

受影响的版本

版本范围从 2.2.0 到 2.3.1（不包括2.3.1）

已修复版本

2.3.1

漏洞描述

在Braces包的2.2.0至2.3.1（不含）版本中发现了一个安全漏洞。这些受影响的版本容易受到正则表达式拒绝服务攻击。攻击者可以利用此漏洞，通过特定输入触发极长的处理时间，从而导致服务拒绝。该漏洞已在2.3.1版本中得到修复。

参考资料

https://nvd.nist.gov/vuln/detail/CVE-2018-1109
micromatch/braces@abdafb0 (GitHub提交)
https://bugzilla.redhat.com/show_bug.cgi?id=1547272 (RedHat Bugzilla)
https://snyk.io/vuln/npm:braces:20180219 (Snyk漏洞数据库)

安全信息

严重程度

低风险

EPSS评分

0.392% (第59百分位)

说明：EPSS（利用预测评分系统）评分估计了此漏洞在未来30天内被利用的概率。数据由FIRST提供。

弱点分类

CWE-400: 不受控制的资源消耗
- 该产品未能正确控制有限资源的分配和维护，从而使攻击者能够影响消耗的资源量，最终导致可用资源耗尽。

元数据

CVE ID: CVE-2018-1109
GHSA ID: GHSA-cwfw-4gq5-mrqx
发布到NVD: 2021年3月30日
GitHub审核: 2021年3月31日
发布到GitHub咨询数据库: 2022年1月6日
最后更新: 2025年11月26日

致谢

分析师: ljharb

comments powered by Disqus