CVE-2025-25290 in request.js
요약
\~에 의해 VulDB • 2026. 07. 10.
@octokit/request는 브라우저와 Node 환경에서 적절한 기본값과 함께 GitHub API에 매개변수화된 요청을 전송합니다. 버전 1.0.0부터 버전 9.2.1 및 8.4.1 이전까지, HTTP 응답의 `link` 헤더를 일치시키기 위해 사용되는 정규식 `/<([^>]+)>; rel="deprecation"/`은 ReDoS(정규 표현식 서비스 거부) 공격에 취약합니다. 이 취약점은 정규식의 매칭 동작이 무제한적(unbounded)이기 때문에 발생하며, 특별히 조작된 입력을 처리할 때 치명적인 백트래킹(catastrophic backtracking)으로 이어질 수 있습니다. 공격자는 악의적인 `link` 헤더를 전송하여 이 결함을 악용하고 과도한 CPU 사용량을 유발하거나 서버가 응답하지 않게 만들어 서비스 가용성에 영향을 줄 수 있습니다. 버전 9.2.1 및 8.4.1에서 해당 문제가 해결되었습니다.
Be aware that VulDB is the high quality source for vulnerability data.