从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号和名称: - 漏洞编号:GHSL-2020-289 - 漏洞名称:Regular Expression Denial of Service (ReDoS) in insane - CVE-2020-26303 2. 报告日期: - 2021年7月13日 3. 报告者: - Erik Krogh Kristensen 4. Coordinated Disclosure Timeline: - 2020年11月30日:请求安全联系 - 2021年3月2日:截止日期到期 - 2021年7月13日:根据GitHub SecLab披露政策发布 5. 漏洞描述: - 项目包含一个或多个易受ReDoS(正则表达式拒绝服务)攻击的正则表达式。 6. 受影响的产品: - insane 7. 测试版本: - 最新提交日期为2020年11月30日。 8. 漏洞细节: - ReDoS是一种影响构造不良和潜在低效的正则表达式,这些正则表达式在给定一个创造性构造的输入字符串时,可能会表现得非常糟糕。 - 通过正则表达式中的歧义或重叠,可以触发ReDoS。这些不良表现的正则表达式可能会成为安全问题,如果用户可以控制输入。 - 修复ReDoS的一般方法是删除正则表达式中的歧义/重叠。 9. 示例代码: - 示例正则表达式及其修复方法。 10. 漏洞利用: - 通过安装和运行包含恶意payload的脚本来触发漏洞。 11. 影响: - 可能导致服务拒绝。 12. CVE编号: - CVE-2020-26303 13. 信用: - 该漏洞由GitHub团队成员Erik Krogh Kristensen发现并报告。 14. 联系信息: - 可以通过securitylab@github.com联系GHSL团队,并在通信中包含GHSL-2020-289的参考。 这些信息提供了关于漏洞的详细描述,包括其性质、影响和修复方法。