package.json依赖包漏洞之nodejs-glob-parent正则表达式拒绝服务漏洞
背景
有个安全扫描的流水线,扫描了负责的项目之后,发现一些漏洞。
需要说明的是,这个扫描只是针对package.json文件,扫的是依赖树,而不是项目源代码,也不是打包后的代码。
但既然是漏洞,都是可以好好学习下的。
nodejs-glob-parent正则表达式拒绝服务漏洞(CVE-2020-28469)
被扫描出来的是下面这样的:
从阿里云漏洞库中可以知道具体是什么漏洞。
CVE-2020-28469漏洞的详情如下:
nodejs是一个基于Chrome V8引擎的JavaScript运行环境,通过对Chrome V8引擎进行了封装以及使用事件驱动和非阻塞IO的应用。让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。
详情:package.json依赖包漏洞之nodejs-glob-parent正则表达式拒绝服务漏洞
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】博客园携手 AI 驱动开发工具商 Chat2DB 推出联合终身会员
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步