HIGHCVE-2022-25858CVSS 7.5

Terser 不安全地使用正则表达式导致拒绝服务攻击 (ReDoS)

Q: CVE-2022-25858 是什么 — terser 中的 Denial of Service (DoS)？

ReDoS (Regular Expression Denial of Service) 是一种使用恶意正则表达式耗尽系统资源的攻击类型。

Q: terser 中的 CVE-2022-25858 是否会影响我？

如果您的应用程序使用 terser 的易受攻击版本并接收用户控制的输入，则可能容易受到 ReDoS 攻击。

Q: 如何修复 terser 中的 CVE-2022-25858？

作为临时措施，您可以限制 terser 处理的输入的尺寸并监控系统资源使用情况。

Q: CVE-2022-25858 是否正在被积极利用？

有一些静态和动态分析工具可以帮助识别潜在的易受攻击的正则表达式模式。

Q: 在哪里可以找到 terser 关于 CVE-2022-25858 的官方安全通告？

您可以在 CVE 条目中找到更多信息：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25858

平台

nodejs

组件

terser

修复版本

4.8.1

5.14.2

4.8.1

AI Confidence: highNVDEPSS 3.6%已审阅: 2026年5月

在NVD查看

保存

CVE-2022-25858是terser包中由于不安全地使用正则表达式而导致的正则表达式拒绝服务(ReDoS)漏洞。该漏洞可能允许攻击者通过构造恶意的输入，消耗大量服务器资源，导致拒绝服务。受影响的版本包括4.8.1之前的terser版本，以及5.0.0到5.14.2之前的版本。该漏洞已在terser 4.8.1版本中修复。

影响与攻击场景

CVE-2022-25858 影响 terser 包，具体来说是 4.8.1 之前的版本以及 5.0.0 到 5.14.2 之间的版本。这是一种正则表达式拒绝服务 (ReDoS) 漏洞。攻击者可以发送恶意输入，导致 terser 消耗过多的系统资源（CPU、内存），从而可能导致系统不稳定或崩溃。该漏洞在于 terser 中正则表达式的不安全使用，允许恶意模式以低效的方式执行，从而导致无限循环或过度资源消耗。攻击的严重程度取决于系统负载和恶意输入的复杂性。为了减轻这种风险，更新包至关重要。

利用背景

利用此漏洞需要攻击者能够控制 terser 处理的输入。这可能发生在 Web 应用程序中，用户可以在其中提供 JavaScript 代码进行最小化，或在 terser 用于处理用户提供的其他任何场景中。攻击者将发送包含恶意正则表达式的精心设计的输入。terser 对此正则表达式的执行将消耗不成比例的资源，从而导致拒绝服务。利用难度取决于攻击者识别和构建触发 ReDoS 攻击的正则表达式的能力。terser 中使用的正则表达式的复杂性会增加此漏洞的风险。

哪些人处于风险中翻译中…

Applications and services utilizing Terser for JavaScript minification or compression are at risk. This includes web applications, build systems (e.g., webpack, Parcel), and any Node.js projects that depend on Terser directly or indirectly through other packages. Developers using older versions of Terser in production environments are particularly vulnerable.

检测步骤翻译中…

• nodejs / server:

  npm list terser

• nodejs / server:

  npm audit

• nodejs / server: Check package.json for terser versions < 4.8.1 or between 5.0.0 and 5.14.2. • nodejs / server: Monitor CPU usage; spikes correlated with Terser processing could indicate exploitation.

攻击时间线

2022-07-16Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

NextGuard100% 仍然脆弱

EPSS

3.56% (88% 百分位)

CVSS 向量

受影响的软件

组件terser

供应商osv

影响范围修复版本

4.8.04.8.1

5.0.0 – 5.14.15.14.2

—4.8.1

时间线

已保留2022-02-24
发布日期2022-07-16
修改日期2025-01-14
EPSS 更新日期2026-04-02

披露后-2天发布补丁

缓解措施和替代方案

减轻 CVE-2022-25858 的方法是将 terser 包更新到 4.8.1 或更高版本，或 5.14.2 或更高版本。这些版本包含修复程序，可以解决正则表达式的不安全使用并防止 ReDoS 攻击。特别是如果使用 terser 的应用程序暴露于用户控制的输入，建议尽快执行此更新。此外，请检查应用程序的源代码，以识别可能被利用此漏洞的潜在入口点，即使在更新之后也是如此。应遵循推荐的依赖管理实践来执行更新，以避免与其他库或系统组件发生冲突。

修复方法翻译中…

Actualice el paquete terser a la versión 4.8.1 o superior, o a la versión 5.14.2 o superior. Esto corrige la vulnerabilidad de Denegación de Servicio por Expresión Regular (ReDoS) causada por el uso inseguro de expresiones regulares.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2022-25858 是什么 — terser 中的 Denial of Service (DoS)？