关键信息: 1. 漏洞名称:Regular Expression Denial of Service (ReDoS) 2. 受影响的包:cross-spawn 3. 受影响的版本范围:<7.0.5 4. 引入日期:24 October 2024 5. 严重性:8.7(高) 6. 修复建议:升级cross-spawn到版本7.0.5或更高。 7. 漏洞描述: - 概述:由于输入数据的不适当处理,导致CPU使用率过高,可能导致程序崩溃。 - PoC:展示了利用漏洞的示例代码。 - 细节: - 正则表达式:/A(B - 解释:字符串必须以字母'A'开头,然后可以是字母'B'或'C'的任意组合,最后必须以'D'结尾。 - 性能影响:对于短字符串,匹配速度快;但对于长字符串,匹配过程会非常慢,导致CPU使用率过高。 8. 参考资料: - GitHub Commit - GitHub Commit - GitHub PR 9. CVSS评分: - 版本4.0:8.7(高) - 版本3.1:8.7(高) 相关链接: GitHub Commit GitHub Commit GitHub PR 其他信息: 报告漏洞:报告新的漏洞。 发现错误:发现错误。 学习资源:关于Regular Expression Denial of Service (ReDoS)漏洞的互动课程。 产品:Snyk Open Source、Snyk Code、Snyk Container、Snyk Infrastructure as Code。 资源:漏洞数据库、文档、披露的漏洞、博客、FAQs。 公司:关于、工作、联系、政策。 联系我们:支持、报告新漏洞、新闻稿、活动。 在线查找:Twitter、YouTube、Facebook、LinkedIn。 跟踪开发:DevSecCon、加入社区。