CWE-1333БазаЧерновик
Неэффективная вычислительная сложность регулярного выражения
Продукт использует регулярное выражение с неэффективной, возможно экспоненциальной вычислительной сложностью в худшем случае, что ведёт к избыточному потреблению ресурсов CPU.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
Связанные уязвимости
CVE-2025-62484Уязвимость в Zoom Workplace clients
CVE-2023-29486Проблема была обнаружена в версии агента Heimdal Thor 3.4.2 и до 3.7.0 на Windows, что позволяет злоумышленникам обходить ограничения доступа USB, выполнять произвольный код и получать конфиденциальную информацию через антивирусный компонент Next-Gen. ПРИМЕЧАНИЕ: Хеймдал утверждает, что ограничение, описанное здесь, является проблемой Microsoft Windows, а не конкретной уязвимостью Хеймдала. Решение USB-контроля от Heimdal предназначено для управления ограничениями Microsoft Windows. Они утверждают, что их решение функционирует как уровень управления над настройками Windows и не виновато в ограничениях в возможностях обнаружения Windows.
CVE-2026-25547@isaacs/brace-expansion - это гибридная вилка CJS/ESM TypeScript скоб-расширения. До версии 5.0.1 @isaacs/brace-exansion уязвима для проблемы отказа в обслуживании (DoS), вызванной безграничным расширением диапазона скоб. Когда злоумышленник обеспечивает шаблон, содержащий повторяющиеся числовых диапазонов скоб, библиотека пытается с нетерпением генерировать каждую возможную комбинацию синхронно. Поскольку расширение растет экспоненциально, даже небольшой вход может потреблять чрезмерный процессор и память и может привести к краху процесса Node.js. Этот вопрос был исправлен в версии 5.0.1.
CVE-2025-25200Koa — это выразительный промежуточный слой для Node.js, использующий асинхронные функции ES2017. До версий 0.21.2, 1.7.1, 2.15.4 и 3.0.0-alpha.3 Koa использует злонамеренное регулярное выражение для разбора HTTP-заголовков `X-Forwarded-Proto` и `X-Forwarded-Host`. Это может быть использовано для проведения атаки отказа в обслуживании. Версии 0.21.2, 1.7.1, 2.15.4 и 3.0.0-alpha.3 исправляют эту проблему.
CVE-2023-29487В агенте Heimdal Thor версий 3.4.2 и более ранних в Windows и 2.6.9 и более ранних в macOS обнаружена проблема, позволяющая злоумышленникам вызывать отказ в обслуживании (DoS) через модуль предотвращения угроз Threat To Process Correlation. ПРИМЕЧАНИЕ: Heimdal утверждает, что это не является допустимой уязвимостью. Их решение DNS Security for Endpoint включает в себя дополнительную функцию предоставления дополнительной информации об исходном процессе, который сделал DNS-запрос. Отсутствие идентификации процесса в журналах DNS, следовательно, ошибочно классифицируется как проблема DoS.
CVE-2026-47138Parse Server - это бэкенд с открытым исходным кодом, который может быть развернут в любой инфраструктуре, которая может работать под управлением Node.js. До версий 8.6.77 и 9.9.1-альфа.1 неаутентифицированный злоумышленник, который знает общедоступный идентификатор приложения Parse, может подать один HTTP-запрос, чье клиентская версия SDK содержит состязательные входы, который вызывает многочленное обратное отслеживание в парсере запроса-заголовка. Разбор выполняется до аутентификации сеанса и перед ограничением скорости по каждому запросу /parse/*, поэтому запрос занимает от секунд до минут синхронного процессора на работнике Node.js, прежде чем какой-либо контроль доступа оценит его. Небольшое количество одновременных запросов может насытить работника; один большой запрос через вариант тела-поле может прижать работника на несколько минут. Затрагиваются производственные развертывания с конфигурацией по умолчанию. Этот вопрос был исправлен в версиях 8.6.77 и 9.9.1-альфа.1.
CVE-2026-41040GROWI, предоставляемый GROWI, Inc., уязвим для регулярного отказа в обслуживании (ReDoS) через созданную строку ввода.
CVE-2026-35458Gotenberg - это API для конвертации форматов документов. В 8.29.1 и ранее Gotenberg использует dlclark/regexp2 для компиляции пользовательских шаблонов объема без установления надлежащего тайм-аута. Пользователи, имеющие доступ к функциям, использующие эту логику, могут повесить работников на неопределенный срок.
CVE-2026-35213@hapi/content предоставил HTTP Content-* заголовки парсинг. Все версии @hapi/content через 6.0.0 уязвимы для регулярного отказа в экспрессии (ReDoS) через созданные значения HTTP-заголовка. Три регулярных выражения, используемые для разбора заголовков Content-Type и Content-Disposition, содержат шаблоны, подверженные катастрофическому отступлению. Эта уязвимость зафиксирована в 6.0.1.
CVE-2026-33079В версиях 3.0.0a1 - 3.2.0 от Mistune в `LINK_TITLE_RE` есть уязвимость ReDoS (Regular Expression Denial of Service), которая позволяет злоумышленнику, который может предоставить Markdown для разбора, вызвать отказ в обслуживании. Регулярное выражение, используемое для разбора заголовков ссылок, содержит перекрывающиеся альтернативы, которые могут вызвать катастрофический откат назад. Как в двухцитированных, так и в одноцитированных ветвях обратная повязка, за которой следует пунктуация, может быть сопоставлена либо как избежавшая последовательность пунктуации, либо как два обычных персонажа, создавая неоднозначный рисунок внутри повторяемой группы. Если злоумышленник поставляет Markdown, содержащий повторяющиеся ! последовательности без комментальной цитаты, двигатель regex исследует экспоненциальное количество путей обратного пути. Это доступно через нормальный разбор Markdown в рядных ссылок и блочных ссылок. Таким образом, небольшой ввод может вызвать значительное потребление процессора и сделать приложения с использованием Mistune безответных.
CVE-2026-26996minimatch - это минимальная утилита соответствия для преобразования глобусов в объекты JavaScript RegExp. Версии 10.2.0 и ниже уязвимы для регулярного отказа в выдаче экспрессии (ReDoS), когда глобковый рисунок содержит много последовательных * подстановочных знаков, за которыми следует буквальный символ, который не появляется в тестовой строке. Каждый * составляет отдельную [^/]*? группу регекса, и когда матч терпит неудачу, двигатель регекса V8 экспоненциально отступает во все возможные сплиты. Сложность времени — O(4^N) это, где N — число * персонажей. С N=15 один вызов minimatch() занимает ~2 секунды. С N=34 он эффективно висит вечно. Любое приложение, которое передает контролируемые пользователем строки minimatch() в качестве аргумента шаблона, уязвимо для DoS. Эта проблема была исправлена в версии 10.2.1.
CVE-2026-0621Версии MCP TypeScript SDK от Anthropic до 1.25.1 включительно содержат уязвимость регулярного отказа в обслуживании (ReDoS) в классе UriTemplate при обработке RFC 6570 взорванных шаблонов массива. Динамично генерируемое регулярное выражение, используемое во время сопоставления URI, содержит вложенные кванторы, которые могут вызвать катастрофический откат назад на специально созданных входах, что приводит к чрезмерному потреблению процессора. Злоумышленник может использовать это, поставляя злонамеренный URI, который приводит к тому, что процесс Node.js становится невосприимчивым, что приводит к отказу в обслуживании.
CVE-2025-6998В функции strip_whitespaces() в файле cps/string_helper.py в Calibre Web и Autocaliweb обнаружена уязвимость ReDoS, позволяющая неаутентифицированным удаленным злоумышленникам вызвать отказ в обслуживании посредством специально созданного параметра username, который запускает катастрофическое откат при входе в систему. Это затрагивает Calibre Web версии 0.6.24 (Nicolette) и Autocaliweb версий от 0.7.0 до 0.7.1 [1]. Проблема заключается в использовании регулярного выражения, уязвимого к катастрофическому откату при обработке специально созданного ввода. Это делает бэкэнд недоступным на значительное время. Для Autocaliweb также подтверждена уязвимость к той же атаке [2].
Источники:
- [1] https://fluidattacks.com/advisories/megadeth
- [2] https://github.com/gelbphoenix/autocaliweb
CVE-2024-58340Версии LangChain до 0.3.1 включительно содержат обратную уязвимость отказа в обслуживании (ReDoS) в методе MRKLOutputParser.parse() (libs/langchain/langchain/gents/mrkl/output_parser.py). Парсер применяет регулярную экспрессию, склонную к обратному отслеживанию, при извлечении действий инструмента из вывода модели. Злоумышленник, который может поставлять или влиять на разобранный текст (например, с помощью быстрого впрыска в приложениях, которые пропускали вывод LLM непосредственно в MRKLOutputParser.parse()), может вызвать чрезмерное потребление процессора, обеспечивая созданную полезную нагрузку, вызывая значительные задержки разбора и состояние отказа в обслуживании.
CVE-2020-26311Useragent — это анализатор пользовательских агентов для Node.js. Все версии на момент публикации содержат одно или несколько регулярных выражений, которые уязвимы для отказа в обслуживании регулярных выражений (ReDoS). На момент публикации исправления отсутствуют.