CVE-2020-26309
nope-validator Regular Expression Denial of Service vulnerability
EPSS 0.21%
描述
Nope is a JavaScript validator. Versions 0.11.3 and prior contain one or more regular expressions that are vulnerable to Regular Expression Denial of Service (ReDoS). This vulnerability is fixed in 0.12.1.
如何修補 CVE-2020-26309
要修補 CVE-2020-26309,請將受影響套件升級到下列已修補版本。
- npm/nope-validator—升級至 0.12.1 或更新版本
CVE-2020-26309 正在被利用嗎?
低 — EPSS 為 0.2%,目前沒有觀察到大規模利用活動。
受影響套件(1)
- from 0, < 0.12.1
CVSS 分數
| 來源 | 版本 | 嚴重程度 | 向量 |
|---|---|---|---|
| osv | CVSS 4.0 | — | CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:U/U:Green |
參考連結(6)
- ADVISORYnvd.nist.gov/vuln/detail/CVE-2020-26309
- ADVISORYsecuritylab.github.com/advisories/GHSL-2020-303-redos-nope-validator
- PATCHgithub.com/ftonato/nope-validator
- WEBgithub.com/ftonato/nope-validator/commit/4564b7444dcd92769e5c5b80420469c9f18b7a05#diff-9c399c46fa266bcf2be2704fbb369181726959e148e95ab548a32ef9ca9e7d47R1