正则表达式拒绝服务在is-my-json-valid中的漏洞分析
漏洞详情
包管理器: npm
受影响包: is-my-json-valid (npm)
受影响版本: < 2.12.4
已修复版本: 2.12.4
漏洞描述
is-my-json-valid在2.12.4之前的版本存在正则表达式拒绝服务(ReDoS)漏洞,攻击者可通过电子邮件验证函数发起攻击。
修复建议
升级到2.12.4或更高版本。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2016-2537
- mafintosh/is-my-json-valid#159
- mafintosh/is-my-json-valid@b3051b2
- GHSA-f522-ffg8-j8r6
- https://www.npmjs.com/advisories/572
- https://www.npmjs.com/advisories/76
- https://hackerone.com/reports/317548
- mafintosh/is-my-json-valid@eca4beb
- github/advisory-database#4850
安全信息
严重等级: 高危
CVSS总体评分: 7.5/10
CVSS v3基础指标
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 无
- 用户交互: 无
- 范围: 未改变
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 高影响
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
弱点分类
弱点: CWE-1333
描述: 低效的正则表达式复杂度 - 产品使用了具有低效、可能指数级最坏情况计算复杂度的正则表达式,消耗过多CPU周期。
标识符
- CVE ID: CVE-2016-2537
- GHSA ID: GHSA-f522-ffg8-j8r6
源代码
mafintosh/is-my-json-valid
致谢
分析师: shaked-seal