NextGuard
UNKNOWNCVE-2021-27290

正規表現によるサービス拒否 (ReDoS)

プラットフォーム

nodejs

コンポーネント

ssri

修正バージョン

6.0.2

NVDで見る

npm `ssri` 5.2.2-6.0.1 および 7.0.0-8.0.0 は、サービス拒否に対して脆弱な正規表現を使用して SRI を処理します。悪意のある SRI は処理に非常に時間がかかり、サービス拒否につながる可能性があります。この問題は、strict オプションを使用するコンシューマーにのみ影響します。

修正方法

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

依存関係を自動的に監視

新しい脆弱性がプロジェクトに影響を与えたときにアラートを受け取りましょう。

無料で始める