package.json依赖包漏洞之nodejs-glob-parent正则表达式拒绝服务漏洞

背景

有个安全扫描的流水线，扫描了负责的项目之后，发现一些漏洞。

需要说明的是，这个扫描只是针对package.json文件，扫的是依赖树，而不是项目源代码，也不是打包后的代码。

但既然是漏洞，都是可以好好学习下的。

 

nodejs-glob-parent正则表达式拒绝服务漏洞(CVE-2020-28469)

被扫描出来的是下面这样的：

 

从阿里云漏洞库中可以知道具体是什么漏洞。

 

CVE-2020-28469漏洞的详情如下：

nodejs是一个基于Chrome V8引擎的JavaScript运行环境，通过对Chrome V8引擎进行了封装以及使用事件驱动和非阻塞IO的应用。让Javascript开发高性能的后台应用成为了可能。

nodejs-glob-parent 存在安全漏洞，该漏洞源于正则表达式拒绝服务。

 

详情：package.json依赖包漏洞之nodejs-glob-parent正则表达式拒绝服务漏洞