@hapi/content предоставил анализ заголовков HTTP Content-*. Все версии @hapi/content до 6.0.0 уязвимы к отказу в обслуживании с использованием регулярных выражений (ReDoS) через созданные значения HTTP-заголовка. Три регулярных выражения, используемые для анализа заголовков Content-Type и Content-Disposition, содержат шаблоны, подверженные катастрофическому возврату.
Эта уязвимость исправлена в версии 6.0.1.
Показать оригинальное описание (EN)
@hapi/content provided HTTP Content-* headers parsing. All versions of @hapi/content through 6.0.0 are vulnerable to Regular Expression Denial of Service (ReDoS) via crafted HTTP header values. Three regular expressions used to parse Content-Type and Content-Disposition headers contain patterns susceptible to catastrophic backtracking. This vulnerability is fixed in 6.0.1.
Характеристики атаки
Последствия
Строка CVSS v4.0