CVE-2024-21539丨@eslint/plugin-kit 中的正则表达式拒绝服务 (ReDoS)

2024年11月20日 204点热度 0人点赞 0条评论

CVE编号

CVE-2024-21539

利用情况

暂无

补丁情况

N/A

披露时间

2024-11-19

在版本低于 0.2.3 的 @eslint/plugin-kit 包存在正则表达式的拒绝服务攻击（ReDoS）漏洞，这是由于输入未进行适当的清理导致的。攻击者可以利用此漏洞增加 CPU 使用率并导致程序崩溃。

"将组件 @eslint/plugin-kit 升级至 0.2.3 及以上版本"

参考链接
https://github.com/eslint/rewrite/commit/071be842f0bd58de4863cdf2ab86d60f49912abf
https://security.snyk.io/vuln/SNYK-JS-ESLINTPLUGINKIT-8340627