关键信息 漏洞名称: Microsoft Knack (knack.introspection module) Python Package ReDoS 严重性: 中等 日期: 2025年8月1日 影响版本: knack.introspection module <= 0.12.0 CVE编号: CVE-2025-54363, CVE-2025-54364 CVE类型: 正则表达式拒绝服务 (ReDoS) CVSS评分: 6.9 CVSS V4向量: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 参考链接: - GitHub Repo - CVE-2025-54363 CVE Record - CVE-2025-54364 CVE Record 发现者: Sajeeb Lohani of Bugcrowd Security Innovation Lab 描述: 在knack.introspection模块中存在正则表达式拒绝服务(ReDoS)漏洞,该模块是Microsoft维护的knack Python包的一部分,并被Azure CLI使用。函数 (CVE-2025-54363) 和 (CVE-2025-54364) 使用了低效的正则表达式模式“%s(param)%s+(.+?)%s(,)”。当处理包含大量空白字符且没有终止冒号的精心构造的docstrings时,此模式容易受到灾难性回溯的影响。能够控制或注入受影响应用程序中的docstring内容的攻击者可以触发过度的CPU消耗并随着时间的推移降低性能。处理时间随着输入大小呈指数增长,可能导致资源耗尽和拒绝服务。