漏洞总结 漏洞概述 CVE编号: CVE-2025-35941 / GHSA-cj9d-ghj4-fxwf 漏洞类型: ReDoS (Regular Expression Denial of Service,正则表达式拒绝服务) 描述: 在 库中,当用户在 选项(如 , , , )中传入不安全的正则表达式(RegExp)时,攻击者可以构造特定的输入导致验证过程耗时过长,从而造成拒绝服务攻击。 影响范围 受影响库: 触发场景: 当 函数的选项中(如 , 等)包含可能导致 ReDoS 的正则表达式时。 修复方案 1. 引入安全库: 在 中更新 依赖版本。 2. 增加检查逻辑: 在 中引入 库。 3. 实现检测函数: 新增 函数,利用 检测正则表达式是否安全。 4. 集成检查: 在 函数中,对 , , , 等选项进行检查。如果这些选项是 RegExp 对象且被判定为不安全,将抛出 (错误码: ) 并提示包含可能导致 ReDoS 攻击的正则表达式。 POC/利用代码 (来自测试文件 )** 以下代码展示了如何触发该警告(即利用不安全的正则表达式):