关键信息摘要 漏洞概述 CVE ID: CVE-2025-69873 Vendor: ajv-validator Product: ajv (Another JSON Schema Validator) Affected Version: <= 8.17.1 (所有支持 的功能) 漏洞类型: CWE-1333: 低效的正则表达式复杂度 (ReDoS) CVSS 3.1: 7.5 (高危) — AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H Attack Type: 远程 漏洞描述 当 选项被启用时,ajv在8.17.1及以下版本对正则表达式拒绝服务(ReDoS)攻击存在漏洞。攻击者可以通过精心构造的正则表达式造成CPU阻塞。 受影响组件 文件: — pattern关键字验证 文件: — 引用解析器 根因: 构造函数调用带有未验证的 输入 攻击情景 攻击者发送带有恶意正则表达式的JSON有效负载至使用ajv验证的API端点,导致服务阻塞。 影响 技术影响: Node.js的单线程事件循环模型,阻止其他请求处理。 业务影响: 引发服务的完全拒绝,严重影响依赖于ajv进行输入验证的服务。 推荐修复措施 1. 避免 搭配 关键字使用静态模式。 2. 动态模式使用前预验证,如利用 。 3. 使用RE2正则引擎,其阻止回溯行为,确保线性时间评估。