漏洞关键信息 漏洞概述 漏洞名称: Uncontrolled Resource Consumption in @isaacs/brace-expansion 漏洞ID: GHSA-7h2j-956f-4vf2 CVE ID: CVE-2026-25547 CVSS v4 base metrics: - Severity: Critical (9.2 / 10) - Attack Vector: Network - Attack Complexity: Low - Attack Requirements: None - Privileges Required: None - User Interaction: None - Availability: High 影响范围 受影响版本: <= 5.0.0 已修复版本: 5.0.1 漏洞描述 摘要: @isaacs/brace-expansion 存在由于无界括号范围扩展导致的拒绝服务(DoS)问题。当攻击者提供包含重复数字括号范围的模式时,库会尝试立即同步生成所有可能的组合。由于扩展呈指数级增长,即使很小的输入也会消耗大量的CPU和内存,可能导致Node.js进程崩溃。 漏洞细节 原因: 该库在没有任何上限或复杂度限制的情况下扩展括号表达式。扩展是立即且同步进行的,意味着在返回控制权给调用者之前,会生成完整的全部结果集。 示例: 输入 将产生 组合,这种指数级增长会迅速压垮事件循环和堆内存,导致进程终止。 证明概念 PoC: 提供了一个可靠的触发问题的脚本 ,运行后进程会冻结并通常会崩溃,显示错误信息如 "FATAL ERROR: JavaScript heap out of memory"。 影响 类型: 拒绝服务漏洞(CWE-400) 潜在影响: - 触发指数级计算 - 耗尽内存和CPU资源 - 阻塞事件循环 - 崩溃依赖此库的Node.js服务 报告者 报告者: Jvr2022