CVE-2020-7760 — codemirror-js - security update

描述

This affects the package codemirror before 5.58.2; the package org.apache.marmotta.webjars:codemirror before 5.58.2. The vulnerable regular expression is located in https://github.com/codemirror/CodeMirror/blob/cdb228ac736369c685865b122b736cd0d397836c/mode/javascript/javascript.jsL129. The ReDOS vulnerability of the regex is mainly due to the sub-pattern (s|/*.*?*/)*

如何修補 CVE-2020-7760

要修補 CVE-2020-7760,請將受影響套件升級到下列已修補版本。

—升級至 5.58.2+~cs0.23.101-1 或更新版本
—升級至 5.43.0-1+deb10u1 或更新版本
—升級至 5.58.2 或更新版本

CVE-2020-7760 正在被利用嗎?

低 — EPSS 為 0.3%,目前沒有觀察到大規模利用活動。

受影響套件(3)

from 0, < 5.58.2+~cs0.23.101-1
from 0, < 5.43.0-1+deb10u1
from 0, < 5.58.2

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	MEDIUM5.3	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

參考連結(15)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2020-7760
ADVISORYsecurity-tracker.debian.org/tracker/CVE-2020-7760
WEBgithub.com/codemirror/CodeMirror/commit/55d0333907117c9231ffdf555ae8824705993bbb
WEBsnyk.io/vuln/SNYK-JAVA-ORGAPACHEMARMOTTAWEBJARS-1024450