CVE-2026-33750 in brace-expansioninfo

Zusammenfassung

von VulDB • 11.06.2026

Die Bibliothek zur geschweiften Klammern-Erweiterung (brace-expansion) generiert beliebige Strings mit einem gemeinsamen Präfix und Suffix. Vor den Versionen 5.0.5, 3.0.2, 2.0.3 und 1.1.13 führt ein Brace-Muster mit einem Schrittwert von Null (z. B. `{1..2..0}`) dazu, dass die Sequenzgenerierungsschleife endlos ausgeführt wird, was zum Hängen des Prozesses für Sekunden und zur Allokation großer Mengen an Heap-Speicher führt. Die Versionen 5.0.5, 3.0.2, 2.0.3 und 1.1.13 beheben das Problem. Als Workaround sollten Strings, die an `expand()` übergeben werden, bereinigt (sanitized) werden, um sicherzustellen, dass kein Schrittwert von `0` verwendet wird.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

23.03.2026

Veröffentlichung

27.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353932

CPE

bereit

EPSS

0.00430

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!