GHSA-4gmj-3p3h-gm8h

Опубликовано: 26 фев. 2024

Источник: github

Github: Прошло ревью

Описание

es5-ext vulnerable to Regular Expression Denial of Service in function#copy and function#toStringTokens

Impact

Passing functions with very long names or complex default argument names into function#copy orfunction#toStringTokens may put script to stall

Patches

Fixed with https://github.com/medikoo/es5-ext/commit/3551cdd7b2db08b1632841f819d008757d28e8e2 and https://github.com/medikoo/es5-ext/commit/a52e95736690ad1d465ebcd9791d54570e294602 Published with v0.10.63

Workarounds

No real workaround aside of refraining from using above utilities.

References

https://github.com/medikoo/es5-ext/issues/201

Ссылки

Пакеты

Наименование

es5-ext

npm

Затронутые версииВерсия исправления

>= 0.10.0, < 0.10.63

0.10.63

EPSS

Процентиль: 82%

0.01846

Низкий

CVE ID

CVE-2024-27088

Дефекты

CWE-1333

Связанные уязвимости

CVE-2024-27088

ubuntu

больше 1 года назад

es5-ext contains ECMAScript 5 extensions. Passing functions with very long names or complex default argument names into `function#copy` or `function#toStringTokens` may cause the script to stall. The vulnerability is patched in v0.10.63.

CVE-2024-27088

nvd

больше 1 года назад

CVE-2024-27088

debian

больше 1 года назад

es5-ext contains ECMAScript 5 extensions. Passing functions with very ...

ROS-20240904-12

redos

10 месяцев назад

Уязвимость nodejs-es5-ext

BDU:2024-06866

CVSS3: 4.4

fstec

больше 1 года назад

Уязвимость функций function#copy и function#toStringTokens расширения ECMAScript 5 пакета es5-ext, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 82%

0.01846

Низкий

CVE ID

CVE-2024-27088

Дефекты

CWE-1333