HIGHCVE-2020-28469CVSS 7.5

glob-parent 易受正则表达式拒绝服务 (Regular Expression Denial of Service) 攻击，位于封闭正则表达式中

Q: glob-parent 中的 CVE-2020-28469 是否会影响我？

在您的项目中运行 `npm list glob-parent` 或 `yarn list glob-parent` 以查看已安装的版本。如果版本早于 5.1.2，则您会受到影响。

Q: 如何修复 glob-parent 中的 CVE-2020-28469？

验证使用 `glob-parent` 的函数的输入，以防止恶意字符串可以帮助，但这并不是一个完整的解决方案。更新是首选方法。

平台

nodejs

组件

glob-parent

修复版本

5.1.2

AI Confidence: highNVDEPSS 0.9%已审阅: 2026年5月

在NVD查看

保存

CVE-2020-28469 是一个拒绝服务(DoS)漏洞，存在于glob-parent组件中。该漏洞源于检查包含路径分隔符的封闭字符串时使用的封闭正则表达式。攻击者可以利用此漏洞导致服务中断，影响glob-parent版本低于5.1.2的版本。目前已发布修复版本5.1.2。

影响与攻击场景

CVE-2020-28469 影响 5.1.2 之前的 glob-parent 包。这是一种拒绝服务 (DoS) 漏洞，源于用于检查字符串是否以包含路径分隔符的封闭字符（例如单引号或双引号）结尾的错误正则表达式 (regex)。攻击者可以通过提供专门设计的输入字符串来利用此漏洞，从而导致正则表达式消耗过多的系统资源，例如 CPU 或内存，从而可能导致应用程序不稳定或崩溃。CVSS 分数为 7.5，表明风险较高。虽然它不允许远程代码执行，但服务中断可能会对应用程序可用性产生重大影响。

利用背景

通过向使用 glob-parent 解析 globbing 模式的函数提供专门设计的输入字符串来利用此漏洞。此字符串应包含一个封闭字符（单引号或双引号），后跟一个路径分隔符。glob-parent 中的错误正则表达式尝试匹配此结构，但效率低下，从而导致过度资源消耗。利用成功的关键在于攻击者是否能够控制使用 glob-parent 的函数的输入。

哪些人处于风险中翻译中…

Node.js developers and system administrators who use the glob-parent package as a dependency in their projects are at risk. This includes applications that rely on glob patterns for file system traversal or pattern matching. Projects using older versions of Node.js or those with complex dependency chains are particularly vulnerable.

检测步骤翻译中…

• nodejs / server:

  npm list glob-parent

If the output shows a version less than 5.1.2, the system is vulnerable. • nodejs / server:

npm audit glob-parent

This command will identify vulnerable dependencies and suggest updates. • generic web: Monitor Node.js application logs for excessive CPU usage or memory allocation related to glob pattern processing. Look for patterns of repeated errors or warnings associated with regular expression matching.

攻击时间线

2020-11-16Discovery
discovery
2021-06-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

NextGuard100% 仍然脆弱

EPSS

0.89% (75% 百分位)

CVSS 向量

受影响的软件

组件glob-parent

供应商osv

影响范围修复版本

unspecified – 5.1.25.1.2

4.0.05.1.2

时间线

已保留2020-11-12
发布日期2021-06-07
修改日期2025-01-14
EPSS 更新日期2026-04-02

披露后-92天发布补丁

缓解措施和替代方案

此漏洞的有效缓解措施是将 glob-parent 包更新到 5.1.2 或更高版本。此版本更正了有问题的正则表达式，从而防止了过度资源消耗。如果无法立即更新，请检查使用 glob-parent 的代码，以识别攻击者可能注入恶意字符串的潜在输入点。实施强大的输入验证可以帮助防止利用，但这并不是一个完整的解决方案。监控系统资源使用情况，尤其是 CPU 和内存，可以帮助检测潜在的攻击。

修复方法翻译中…

Actualice la dependencia glob-parent a la versión 5.1.2 o superior. Esto corrige la vulnerabilidad ReDoS en la expresión regular utilizada para verificar cadenas que terminan en un delimitador que contiene un separador de ruta. Ejecute `npm install glob-parent@latest` o `yarn upgrade glob-parent` para actualizar.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2020-28469 是什么 — glob-parent 中的 Denial of Service (DoS)？

Globbing 是一种使用通配符（例如 '*'，表示任意数量的字符，以及 '?'，表示单个字符）指定文件名模式的方法。glob-parent 是一个帮助解析这些模式的库。

glob-parent 中的 CVE-2020-28469 是否会影响我？

在您的项目中运行 npm list glob-parent 或 yarn list glob-parent 以查看已安装的版本。如果版本早于 5.1.2，则您会受到影响。

如何修复 glob-parent 中的 CVE-2020-28469？

验证使用 glob-parent 的函数的输入，以防止恶意字符串可以帮助，但这并不是一个完整的解决方案。更新是首选方法。

CVE-2020-28469 是否正在被积极利用？

主要是一种拒绝服务。应用程序可能会变慢、不稳定或崩溃。

在哪里可以找到 glob-parent 关于 CVE-2020-28469 的官方安全通告？

请参阅国家漏洞数据库 (NVD) 中的安全公告：https://nvd.nist.gov/vuln/detail/CVE-2020-28469