CVE-2021-23364

描述

The package browserslist from 4.0.0 and before 4.16.5 are vulnerable to Regular Expression Denial of Service (ReDoS) during parsing of queries.

如何修補 CVE-2021-23364

要修補 CVE-2021-23364,請將受影響套件升級到下列已修補版本。

• Debian/node-browserslist—升級至 4.16.3+~cs5.4.72-2 或更新版本
• npm/browserslist—升級至 4.16.5 或更新版本

CVE-2021-23364 正在被利用嗎?

低 — EPSS 為 0.6%,目前沒有觀察到大規模利用活動。

受影響套件(2)

• from 0, < 4.16.3+~cs5.4.72-2
• >= 4.0.0, < 4.16.5

CVSS 分數

參考連結(7)

• ADVISORYnvd.nist.gov/vuln/detail/CVE-2021-23364
• ADVISORYsecurity-tracker.debian.org/tracker/CVE-2021-23364
• WEBgithub.com/browserslist/browserslist/blob/e82f32d1d4100d6bc79ea0b6b6a2d281a561e33c/index.js%23L472-L474
• WEBgithub.com/browserslist/browserslist/commit/c091916910dfe0b5fd61caad96083c6709b02d98