CVE-2024-4067 in micromatch
摘要
由 VulDB • 2026-06-12
NPM 包 `micromatch` 存在正则表达式拒绝服务(ReDoS)漏洞。该漏洞出现在 `index.js` 中的 `micromatch.braces()` 函数中,因为模式 `.*` 会贪婪地匹配任何内容。通过传入恶意负载,当未找到闭合括号时,模式匹配将不断对输入进行回溯。随着输入规模的增加,消耗时间也会随之增长,最终导致应用程序挂起或变慢。虽然已有合并的修复方案,但进一步测试表明该问题仍然存在。应通过使用不会因贪婪匹配而导致正则表达式开始回溯的安全模式来缓解此问题。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.