GHSA-gxpj-cx7g-858c

Опубликовано: 09 авг. 2018

Источник: github

Github: Прошло ревью

CVSS3: 3.7

Описание

Regular Expression Denial of Service in debug

Affected versions of debug are vulnerable to regular expression denial of service when untrusted user input is passed into the o formatter.

As it takes 50,000 characters to block the event loop for 2 seconds, this issue is a low severity issue.

This was later re-introduced in version v3.2.0, and then repatched in versions 3.2.7 and 4.3.1.

Recommendation

Version 2.x.x: Update to version 2.6.9 or later. Version 3.1.x: Update to version 3.1.0 or later. Version 3.2.x: Update to version 3.2.7 or later. Version 4.x.x: Update to version 4.3.1 or later.

Ссылки

Пакеты

Наименование

debug

npm

Затронутые версииВерсия исправления

< 2.6.9

2.6.9

Наименование

debug

npm

Затронутые версииВерсия исправления

>= 3.0.0, < 3.1.0

3.1.0

Наименование

debug

npm

Затронутые версииВерсия исправления

>= 3.2.0, < 3.2.7

3.2.7

Наименование

debug

npm

Затронутые версииВерсия исправления

>= 4.0.0, < 4.3.1

4.3.1

EPSS

Процентиль: 27%

0.00097

Низкий

3.7 Low

CVSS3

CVE ID

CVE-2017-16137

Дефекты

CWE-400

Связанные уязвимости

CVE-2017-16137

CVSS3: 5.3

ubuntu

больше 7 лет назад

The debug module is vulnerable to regular expression denial of service when untrusted user input is passed into the o formatter. It takes around 50k characters to block for 2 seconds making this a low severity issue.

CVE-2017-16137

CVSS3: 5.3

redhat

больше 8 лет назад

CVE-2017-16137

CVSS3: 5.3

nvd

больше 7 лет назад

CVE-2017-16137

CVSS3: 5.3

debian

больше 7 лет назад

The debug module is vulnerable to regular expression denial of service ...

BDU:2021-02886

CVSS3: 5.3

fstec

больше 4 лет назад

Уязвимость библиотеки debug прикладного программного обеспечения Аврора Центр, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

EPSS

Процентиль: 27%

0.00097

Низкий

3.7 Low

CVSS3

CVE ID

CVE-2017-16137

Дефекты

CWE-400