一、 漏洞 CVE-2026-22809 基础信息

                                        # tarteaucitron.js 正则表达式拒绝服务漏洞

## 概述
tarteaucitron.js 存在一个正则表达式拒绝服务（ReDoS）漏洞，影响对 `issuu_id` 参数的处理。

## 影响版本
1.29.0 之前的所有版本。

## 细节
漏洞源于 `issuu_id` 参数在处理时使用了易受攻击的正则表达式，攻击者可通过构造特殊的输入导致正则表达式执行时间急剧增加，从而引发服务拒绝。

## 影响
攻击者可利用该漏洞发起拒绝服务攻击，导致应用响应缓慢或不可用。
                                        

二、漏洞 CVE-2026-22809 的公开POC

三、漏洞 CVE-2026-22809 的情报信息

• 标题： Regular Expression Denial of Service (ReDoS) vulnerability · Advisory · AmauriC/tarteaucitron.js · GitHub -- 🔗来源链接

  标签：x_refsource_CONFIRM

  神龙速读：

                                          ### 关键信息
  
  **漏洞类型**: Regular Expression Denial of Service (ReDoS)
  
  **影响版本**: <1.29.0
  
  **修复版本**: 1.29.0
  
  **严重性**: Moderate (CVSS v3 基本度量: 4.4/10)
  
  **CVE ID**: CVE-2026-22809
  
  **弱项**: CWE-1333
  
  **描述**
  
  - 在处理 `issuu_id` 参数时，`tarteaucitron.js` 中存在潜在的 Regular Expression Denial of Service (ReDoS) 漏洞。
  - 问题原因: 使用了对攻击者控制的输入不够严格的正则表达式。
  - 这些表达式没有锚定并且依赖于贪婪模式 `(.*)`。当评估特殊构造的输入时，它们可能导致过度回溯，从而消耗大量 CPU 资源并可能导致服务暂时不可用。
  
  **修复措施**
  
  - 通过移除模糊的正则表达式并强制执行严格的输入验证，简化并强化了逻辑。
  - 删除与 `Alexa Rank` 服务相关的代码，该服务已永久停用。
                                          

  

• 标题： Security: fix potential Redos · AmauriC/tarteaucitron.js@f0bbdac · GitHub -- 🔗来源链接

  标签：x_refsource_MISC

  神龙速读：

                                          ## 关键漏洞信息
  
  - **漏洞类型**: 潜在的ReDoS（正则表达式拒绝服务攻击）
  - **修复提交**: f0bbdac
  - **提交描述**: Security: fix potential ReDoS
  - **修改文件**:
    - tarteaucitron.services.js
    - tarteaucitron.services.min.js
  - **关键代码更改**:
    - 删除了与Amazon Alexa服务相关的代码，移除了一些可能引起ReDoS的正则表达式。
    - 修改了ISSUU服务的正则表达式逻辑，简化了if条件判断，避免复杂的正则匹配导致的性能问题。
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2026-22809

四、漏洞 CVE-2026-22809 的评论