正则表达式拒绝服务(ReDoS)在Lodash中的漏洞分析
漏洞概述
CVE-2019-1010266 是一个影响Lodash JavaScript库的正则表达式拒绝服务(ReDoS)漏洞,被评定为中等严重程度。
受影响版本
- lodash (npm): >= 4.7.0, < 4.17.11
- lodash-amd (npm): >= 4.7.0, < 4.17.11
- lodash-es (npm): >= 4.7.0, < 4.17.11
- lodash-rails (bundler): >= 4.7.0, < 4.17.11
修复版本
所有受影响包的修复版本均为 4.17.11
技术细节
漏洞类型
CWE-400: 不受控制的资源消耗
影响组件
日期处理程序
攻击向量
攻击者可以提供非常长的字符串,库会尝试使用正则表达式进行匹配,导致资源耗尽。
影响后果
拒绝服务
安全评分
CVSS v3.1 基础评分: 6.5(中等)
基础指标:
- 攻击向量: 网络
- 攻击复杂度: 低
- 所需权限: 低
- 用户交互: 无
- 范围: 未改变
- 机密性: 无影响
- 完整性: 无影响
- 可用性: 高影响
EPSS评分: 0.186%
参考链接
漏洞标识
- CVE ID: CVE-2019-1010266
- GHSA ID: GHSA-x5rq-j2xg-h7qm
致谢
感谢以下安全分析师的贡献:
- mitchell-codecov
- G-Rath
- levpachmanov