Влияние:
Плохое регулярное выражение генерируется каждый раз, когда у вас есть несколько последовательных необязательных групп (синтаксис фигурных скобок), например `{a}{b}{c}:z`. Сгенерированное регулярное выражение растет экспоненциально с увеличением количества групп, что приводит к отказу в обслуживании. Патчи:
Исправлено в версии 8.4.0.
Обходные пути: Ограничьте количество последовательных дополнительных групп в шаблонах маршрутов. Избегайте передачи входных данных, управляемых пользователем, в качестве шаблонов маршрутов.
Показать оригинальное описание (EN)
Impact: A bad regular expression is generated any time you have multiple sequential optional groups (curly brace syntax), such as `{a}{b}{c}:z`. The generated regex grows exponentially with the number of groups, causing denial of service. Patches: Fixed in version 8.4.0. Workarounds: Limit the number of sequential optional groups in route patterns. Avoid passing user-controlled input as route patterns.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Pillarjs Path-To-Regexp
cpe:2.3:a:pillarjs:path-to-regexp:*:*:*:*:*:node.js:*:*
|
8.0.0
|
8.4.0
|