CVE-2024-21538

CVE编号

CVE-2024-21538

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-08

在版本低于7.0.5的包cross-spawn中，由于输入清理不当，存在正则表达式的拒绝服务（ReDoS）漏洞。攻击者可以通过精心构造非常大的字符串来增加CPU使用率并导致程序崩溃。

"将组件 cross-spawn 升级至 7.0.5 及以上版本"

参考链接
https://github.com/moxystudio/node-cross-spawn/commit/5ff3a07d9add449021d806e...
https://github.com/moxystudio/node-cross-spawn/commit/640d391fde65388548601d9...
https://github.com/moxystudio/node-cross-spawn/pull/160
https://security.snyk.io/vuln/SNYK-JS-CROSSSPAWN-8303230