CVE-2021-3803描述了Node.js模块nth-check中的正则表达式复杂度利用(ReDoS)漏洞。该漏洞可能导致拒绝服务,攻击者可以通过精心构造的输入触发正则表达式引擎的过度计算,耗尽服务器资源。受影响的版本包括nth-check 2.0.1及更早版本。已发布补丁版本2.0.1,建议尽快升级。
正则表达式复杂度利用(ReDoS)是一种攻击方式,攻击者通过构造特定的输入字符串,使得正则表达式引擎在匹配过程中陷入无限循环或执行大量计算,从而导致服务不可用。在nth-check模块中,如果用户提供的输入字符串未经过充分验证,攻击者可以利用此漏洞,导致服务器CPU占用率飙升,响应时间变慢,甚至崩溃。攻击者无需身份验证即可发起攻击,影响范围广泛。该漏洞的潜在影响包括服务中断、资源耗尽以及可能的拒绝服务攻击。
该漏洞已公开披露,存在公开的POC。目前尚未观察到大规模的利用活动,但由于其易于利用,存在被攻击的风险。该漏洞已添加到CISA KEV目录中,表明其具有较高的安全风险。建议尽快采取措施进行缓解。
漏洞利用状态
EPSS
0.13% (33% 百分位)
CVSS 向量
针对CVE-2021-3803漏洞,最有效的缓解措施是升级到nth-check 2.0.1或更高版本。如果无法立即升级,可以考虑使用Web应用防火墙(WAF)来过滤恶意输入,限制正则表达式的执行时间,或者对用户输入进行严格的验证和过滤,以防止包含可能触发ReDoS漏洞的特殊字符。此外,监控服务器的CPU使用率,及时发现异常情况,有助于快速响应和处理。
将 `nth-check` 依赖项升级到 2.0.1 或更高版本。 这将解决正则表达式复杂度低效的漏洞。 运行 `npm install nth-check@latest` 或 `yarn upgrade nth-check@latest` 进行升级。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2021-3803描述了Node.js模块nth-check中存在的正则表达式复杂度利用(ReDoS)漏洞,攻击者可以通过构造恶意输入导致拒绝服务。
如果您的应用程序使用了nth-check 2.0.1或更早版本,则可能受到影响。请立即检查您的依赖版本。
升级到nth-check 2.0.1或更高版本是修复此漏洞的最佳方法。
虽然目前尚未观察到大规模利用,但由于其易于利用,存在被攻击的风险。
请访问nth-check模块的GitHub仓库或相关安全公告网站获取官方信息。