GHSA-xfhp-gmh8-r8v2

Опубликовано: 19 мар. 2021

Источник: github

Github: Прошло ревью

CVSS3: 7.5

Описание

printf vulnerable to Regular Expression Denial of Service (ReDoS)

The package printf before 0.6.1 are vulnerable to Regular Expression Denial of Service (ReDoS) via the regex string

/\%(?:$([\w_.]+)$|([1-9]\d*)\$)?([0 +\-\]*)(\*|\d+)?(\.)?(\*|\d+)?[hlL]?([\%bscdeEfFgGioOuxX])/g

in lib/printf.js. The vulnerable regular expression has cubic worst-case time complexity.

Ссылки

Пакеты

Наименование

printf

npm

Затронутые версииВерсия исправления

< 0.6.1

0.6.1

EPSS

Процентиль: 60%

0.00399

Низкий

7.5 High

CVSS3

CVE ID

CVE-2021-23354

Дефекты

CWE-400

Связанные уязвимости

CVE-2021-23354

CVSS3: 5.3

nvd

почти 5 лет назад

The package printf before 0.6.1 are vulnerable to Regular Expression Denial of Service (ReDoS) via the regex string /\%(?:$([\w_.]+)$|([1-9]\d*)\$)?([0 +\-\]*)(\*|\d+)?(\.)?(\*|\d+)?[hlL]?([\%bscdeEfFgGioOuxX])/g in lib/printf.js. The vulnerable regular expression has cubic worst-case time complexity.

EPSS

Процентиль: 60%

0.00399

Низкий

7.5 High

CVSS3

CVE ID

CVE-2021-23354

Дефекты

CWE-400