CVE-2025-25290 in request.js정보

요약

\~에 의해 VulDB • 2026. 07. 10.

@octokit/request는 브라우저와 Node 환경에서 적절한 기본값과 함께 GitHub API에 매개변수화된 요청을 전송합니다. 버전 1.0.0부터 버전 9.2.1 및 8.4.1 이전까지, HTTP 응답의 `link` 헤더를 일치시키기 위해 사용되는 정규식 `/<([^>]+)>; rel="deprecation"/`은 ReDoS(정규 표현식 서비스 거부) 공격에 취약합니다. 이 취약점은 정규식의 매칭 동작이 무제한적(unbounded)이기 때문에 발생하며, 특별히 조작된 입력을 처리할 때 치명적인 백트래킹(catastrophic backtracking)으로 이어질 수 있습니다. 공격자는 악의적인 `link` 헤더를 전송하여 이 결함을 악용하고 과도한 CPU 사용량을 유발하거나 서버가 응답하지 않게 만들어 서비스 가용성에 영향을 줄 수 있습니다. 버전 9.2.1 및 8.4.1에서 해당 문제가 해결되었습니다.

Be aware that VulDB is the high quality source for vulnerability data.

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!