UNKNOWNGHSA-5jg4-p4qw-cgfr
@stablelib/cbor DoS漏洞,版本<2.0.3,CVSS 7.5
平台
nodejs
组件
@stablelib/cbor
已修复版本
2.0.3
GHSA-5jg4-p4qw-cgfr 是 @stablelib/cbor 库中的一个拒绝服务 (DoS) 漏洞。该漏洞源于库递归解码嵌套 CBOR 结构时未强制执行最大嵌套深度,攻击者可利用此漏洞通过构造深度嵌套的 CBOR 载荷导致解码崩溃,引发拒绝服务。受影响的版本包括 2.0.3 之前的版本。此问题已在 2.0.3 版本中修复。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
GHSA-5jg4-p4qw-cgfr 是什么?
GHSA-5jg4-p4qw-cgfr 是 @stablelib/cbor 库中的一个拒绝服务 (DoS) 漏洞,由于未限制 CBOR 结构的嵌套深度,攻击者可以发送恶意载荷导致服务崩溃。
我是否受到 GHSA-5jg4-p4qw-cgfr 的影响?
如果您的项目使用了 2.0.3 之前的 @stablelib/cbor 版本,并且处理了来自不受信任来源的 CBOR 数据,那么您可能受到此漏洞的影响。
如何修复 GHSA-5jg4-p4qw-cgfr?
将 @stablelib/cbor 升级到 2.0.3 或更高版本可以修复此漏洞。升级后,该库将限制 CBOR 结构的嵌套深度,防止恶意载荷导致服务崩溃。