关键信息 漏洞描述 名称: Regular Expression Denial of Service (ReDoS) 受影响的包: @eslint/plugin-kit 受影响的版本: <0.2.3 引入时间: 2024年10月24日 CVSS评分: 8.7 (HIGH) 漏洞影响 描述: 由于输入处理不当,该漏洞可能导致服务拒绝服务(ReDoS)攻击。 攻击方式: 攻击者可以通过构造特定的输入字符串来耗尽服务器资源,导致服务不可用。 漏洞利用 PoC代码: 漏洞细节 正则表达式解释: - :字符串必须以字母'A'开头。 - :字符串必须以字母'B'或'C'开头,且后面可以跟任意数量的'C'。 - :字符串必须以字母'D'结束。 CVSS评分 AV: Low AC: None AT: None PR: None UI: None CVSS评分: 8.7 (HIGH) 解决方案 建议: 升级@eslint/plugin-kit到版本0.2.3或更高版本。 其他信息 报告日期: 2024年10月24日 披露日期: 2024年10月24日 作者: Rongchen Li GitHub提交: GitHub Commit