Библиотека расширения фигурных скобок генерирует произвольные строки, содержащие общий префикс и суффикс. До версий 5.0.5, 3.0.2, 2.0.3 и 1.1.13 шаблон фигурных скобок с нулевым значением шага (например, `{1..2..0}`) приводил к бесконечному выполнению цикла генерации последовательности, что приводило к зависанию процесса на несколько секунд и выделению кучи памяти. Версии 5.0.5, 3.0.2, 2.0.3 и 1.1.13 устраняют проблему.
В качестве обходного пути очистите строки, передаваемые в `expand()`, чтобы гарантировать, что значение шага `0` не используется.
Показать оригинальное описание (EN)
The brace-expansion library generates arbitrary strings containing a common prefix and suffix. Prior to versions 5.0.5, 3.0.2, 2.0.3, and 1.1.13, a brace pattern with a zero step value (e.g., `{1..2..0}`) causes the sequence generation loop to run indefinitely, making the process hang for seconds and allocate heaps of memory. Versions 5.0.5, 3.0.2, 2.0.3, and 1.1.13 fix the issue. As a workaround, sanitize strings passed to `expand()` to ensure a step value of `0` is not used.
Характеристики атаки
Последствия
Строка CVSS v3.1