UNKNOWNCVE-2020-26302
is.js 是一个通用检查库。0.9.0 及更早版本包含一个或多个易受正则表达式拒绝服务 (ReDoS) 攻击的正则表达式。is.js 使用从 gist 复制粘贴的正则表达式
平台
nodejs
组件
is
已修复版本
0.9.1
is.js 是一个通用检查库。0.9.0 及更早版本包含一个或多个易受正则表达式拒绝服务 (ReDoS) 攻击的正则表达式。is.js 使用从 gist 复制粘贴的正则表达式来验证 URL。尝试验证恶意字符串可能会导致正则表达式“永远”循环。此漏洞是使用 CodeQL 查询发现的,该查询可以识别效率低下的正则表达式。is.js 没有针对此问题的补丁。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。