平台
nodejs
组件
path-to-regexp
修复版本
0.1.13
0.1.13
CVE-2026-4867 是 path-to-regexp 库中的拒绝服务 (DoS) 漏洞。当路径段中包含三个或更多参数,且参数之间不是点(.)分隔符时,会生成不良的正则表达式。这会导致灾难性回溯,从而导致服务中断。受影响的版本包括所有未升级到 0.1.13 的版本。建议立即升级以缓解风险。
该漏洞允许攻击者通过构造包含三个或更多参数的恶意路径,触发 path-to-regexp 库中的灾难性回溯。这种回溯会消耗大量的计算资源,导致应用程序或服务器响应缓慢甚至崩溃,从而造成服务中断。由于 path-to-regexp 广泛应用于 Node.js 应用中的路由处理,因此该漏洞可能影响大量应用程序。攻击者无需身份验证即可发起攻击,攻击的难度较低,潜在影响范围广泛。
该漏洞已公开披露,且存在公开的 PoC 代码。目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,存在被利用的风险。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议尽快采取缓解措施。
Applications built with Node.js that utilize the path-to-regexp package for URL routing or parameter parsing are at risk. This includes web applications, APIs, and microservices that rely on this package for handling incoming requests. Projects using older versions of path-to-regexp are particularly vulnerable.
• nodejs / server:
npm list path-to-regexp• nodejs / server:
npm audit path-to-regexp• nodejs / server:
grep -r 'path-to-regexp' package.jsondisclosure
漏洞利用状态
EPSS
0.05% (15% 百分位)
CISA SSVC
最有效的缓解措施是升级到 path-to-regexp 0.1.13 或更高版本,该版本修复了该漏洞。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来过滤包含恶意路径模式的请求。此外,可以审查应用程序的代码,避免在路径段中使用三个或更多参数,并确保参数之间使用点(.)分隔符。升级后,请验证路由处理功能是否正常运行,确保没有引入新的问题。
Actualice la versión de la librería path-to-regexp a la versión 0.1.13 o superior. Si no es posible actualizar, puede proporcionar una expresión regular personalizada para los parámetros después del primero en un segmento único. Otra alternativa es limitar la longitud de la URL.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-4867 是 path-to-regexp 库中的拒绝服务漏洞,攻击者可以通过构造恶意路径触发灾难性回溯,导致服务中断。
如果您的应用程序使用了 path-to-regexp 库且未升级到 0.1.13 或更高版本,则可能受到影响。
升级到 path-to-regexp 0.1.13 或更高版本是修复此漏洞的最佳方法。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的易利用性,存在被利用的风险。
请访问 path-to-regexp 的 GitHub 仓库:https://github.com/pillarjs/path-to-regexp/releases/tag/v.0.1.13
CVSS 向量