CVE-2021-29469
Node-Redis potential exponential regex in monitor mode
7.5
HIGH
CVSS 3.1
EPSS 0.93%
描述
### Impact When a client is in monitoring mode, the regex begin used to detected monitor messages could cause exponential backtracking on some strings. This issue could lead to a denial of service. ### Patches The problem was fixed in commit [`2d11b6d`](https://github.com/NodeRedis/node-redis/commit/2d11b6dc9b9774464a91fb4b448bad8bf699629e) and was released in version `3.1.1`. ### References #1569 (GHSL-2021-026)
如何修補 CVE-2021-29469
要修補 CVE-2021-29469,請將受影響套件升級到下列已修補版本。
- —升級至 3.0.2+~cs5.18.1-3 或更新版本
- —升級至 3.1.1 或更新版本
CVE-2021-29469 正在被利用嗎?
低 — EPSS 為 0.9%,目前沒有觀察到大規模利用活動。
受影響套件(2)
- from 0, < 3.0.2+~cs5.18.1-3
- >= 2.6.0, < 3.1.1
CVSS 分數
| 來源 | 版本 | 嚴重程度 | 向量 |
|---|---|---|---|
| osv | CVSS 3.1 | HIGH7.5 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |