Описание
The package printf before 0.6.1 are vulnerable to Regular Expression Denial of Service (ReDoS) via the regex string /%(?:(([\w_.]+))|([1-9]\d*)$)?([0 +-]*)(*|\d+)?(.)?(*|\d+)?[hlL]?([%bscdeEfFgGioOuxX])/g in lib/printf.js. The vulnerable regular expression has cubic worst-case time complexity.
Ссылки
- ExploitIssue TrackingThird Party Advisory
- PatchThird Party Advisory
- Broken Link
- ExploitIssue TrackingThird Party Advisory
- PatchThird Party Advisory
- Broken Link
Уязвимые конфигурации
Конфигурация 1Версия до 0.6.1 (исключая)
cpe:2.3:a:adaltas:printf:*:*:*:*:*:node.js:*:*
EPSS
Процентиль: 60%
0.00399
Низкий
5.3 Medium
CVSS3
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
CWE-1333
Связанные уязвимости
CVSS3: 7.5
github
почти 5 лет назад
printf vulnerable to Regular Expression Denial of Service (ReDoS)
EPSS
Процентиль: 60%
0.00399
Низкий
5.3 Medium
CVSS3
7.5 High
CVSS3
5 Medium
CVSS2
Дефекты
CWE-1333