CVE-2025-66020 - Valibot 的 EMOJI_REGEX 存在 ReDoS 漏洞
概述
漏洞时间线
描述
Valibot 是一个使用模式(schema)验证数据的库。在 0.31.0 至 1.1.0 版本中,用于表情符号动作的 EMOJI_REGEX 存在正则表达式拒绝服务漏洞。攻击者可以通过构造一个简短的恶意字符串(例如,少于100个字符),导致正则表达式引擎消耗大量CPU时间(可达数分钟),从而使应用程序遭受拒绝服务攻击。此问题已在 1.2.0 版本中修复。
信息
发布日期: 2025年11月26日 凌晨2:15
最后修改日期: 2025年11月26日 凌晨2:15
远程可利用: 是!
来源: security-advisories@github.com
受影响的产品
以下产品受到 CVE-2025-66020 漏洞的影响。 即使 cvefeed.io 知晓受影响产品的确切版本,下表也未显示该信息。
无受影响产品记录 : 总受影响供应商:0 | 产品:0
CVSS 分数
通用漏洞评分系统是一个用于评估软件和系统中漏洞严重程度的标准化框架。我们为每个CVE收集并展示来自不同来源的CVSS分数。
| 分数 | 版本 | 严重性 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 7.5 | CVSS 3.1 | 高 | 3.9 | 3.6 | security-advisories@github.com | |
| 7.5 | CVSS 3.1 | 高 | 3.9 | 3.6 | MITRE-CVE |
解决方案
将 Valibot 更新到 1.2.0 或更高版本以修复此 ReDoS 漏洞。
- 将 Valibot 更新到 1.2.0 版本。
- 验证应用程序使用的是更新后的库。
公告、解决方案和工具参考
这里,您将找到一个精心策划的外部链接列表,这些链接提供了与 CVE-2025-66020 相关的深入信息、实用解决方案和有价值的工具。
| URL | 资源 |
|---|---|
| https://github.com/open-circle/valibot/commit/cfb799db301a953a0950d5c05a34a3ab121262dc | |
| https://github.com/open-circle/valibot/security/advisories/GHSA-vqpr-j7v3-hqw9 |
CWE - 常见缺陷枚举
CVE 标识特定的漏洞实例,而 CWE 则对可能导致漏洞的常见缺陷或弱点进行分类。CVE-2025-66020 与以下 CWE 相关联:
CWE-1333:低效的正则表达式复杂度
常见攻击模式枚举和分类
常见攻击模式枚举和分类存储攻击模式,这些模式描述了攻击者利用 CVE-2025-66020 弱点的常用属性和方法。
CAPEC-492:正则表达式指数爆炸
漏洞历史记录
以下表格列出了 CVE-2025-66020 漏洞随时间所做的更改。漏洞历史记录详细信息有助于了解漏洞的演变,并识别可能影响漏洞严重性、可利用性或其他特征的最新更改。
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 新增 CVE | 由 security-advisories@github.com 接收 | 2025年11月26日 | |
| 已添加 | 描述 | Valibot 帮助使用模式验证数据。在 0.31.0 到 1.1.0 版本中,用于表情符号动作的 EMOJI_REGEX 容易受到正则表达式拒绝服务攻击。一个简短的、恶意构造的字符串(例如,<100 个字符)可能导致正则表达式引擎消耗过多的 CPU 时间(数分钟),从而导致应用程序拒绝服务。此问题已在 1.2.0 版本中修复。 | |
| 已添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H | |
| 已添加 | CWE | CWE-1333 | |
| 已添加 | 参考 | https://github.com/open-circle/valibot/commit/cfb799db301a953a0950d5c05a34a3ab121262dc | |
| 已添加 | 参考 | https://github.com/open-circle/valibot/security/advisories/GHSA-vqpr-j7v3-hqw9 |
漏洞评分详情
CVSS 3.1
基础 CVSS 分数:7.5
| 攻击向量 | 攻击复杂度 | 所需权限 | 用户交互 | 作用范围 | 机密性影响 | 完整性影响 | 可用性影响 |
|---|---|---|---|---|---|---|---|
| 网络 | 低 | 无 | 无 | 未更改 | 无 | 无 | 高 |