以下是关于此漏洞的关键信息总结: 漏洞概述 漏洞类型: ReDoS(正则表达式灾难性回溯) CVE编号: CVE-2026-27904 CVSS评分: 7.5/10(严重) 受影响的版本: 3.1.4 - 10.2.2 > 10.2.2 版本 其他受影响版本参见受影响版本列表 --- 漏洞详情 受影响功能路径: 默认API在没有额外配置时触发漏洞。 漏洞成因: Nested extglobs 生成了复杂的正则表达式,V8在处理重复嵌套分组时,其灾难性回溯机制导致执行时间急剧增加。例如,模式如 触发了大量路径探索。 --- 漏洞影响 实验数据: 测试显示模式 对18字符输入会导致耗时超过7秒,严重时耗时会进一步增加至数十分钟,导致事件循环被阻塞,引发行星时间增加。 演示脚本及HTTP服务器(基于简化的攻击证明)展示了延迟执行旁观者请求,证明了事件循环阻塞的问题。 --- 减缓措施: 对 API 传递额外参数 禁用extgloob扩展以预防此漏洞。 尽量避免或限制用户控制输入与 API交互。 --- 影响范围: 漏洞影响多租户平台、Git配置文件名称匹配、内置任务运行器、CI/CD流水线配置评估上下文,威胁系统执行时间。 备注: 此漏洞主要通过攻击者控制的glob模式触发,风险主要集中在处理信赖输入的自动化模版注入或不安全配置环境下。