CWE-186 · Чрезмерно ограничительное регулярное выражение

Сканер-ВСкаталог уязвимостей · v4.2

Главная Каталог Источники CWE CAPEC ATT&CK Меры защиты Продукты Вендоры Документация

← Вернуться к списку

CWE-186БазаЧерновик

Абстракция: База

Статус: Черновик

Источник ↗

Чрезмерно ограничительное регулярное выражение

Регулярное выражение является чрезмерно ограничительным, что не позволяет обнаруживать опасные значения.

Открыть в каталоге с фильтром CWE →

Связанные CAPEC

—

Связанные уязвимости

CVE-2022-21681Marked - это парсер и компилятор markdown. До версии 4.0.10 регулярное выражение `inline.reflinkSearch` может вызвать катастрофический возврат против некоторых строк и привести к отказу в обслуживании (DoS). Любой, кто запускает ненадежный markdown через уязвимую версию marked и не использует рабочий процесс с ограничением по времени, может быть затронут. Эта проблема исправлена в версии 4.0.10. В качестве обходного пути избегайте запуска ненадежного markdown через marked или запускайте marked в рабочем потоке и установите разумное ограничение по времени, чтобы предотвратить истощение ресурсов.

CVE-2022-21680Marked - это парсер и компилятор markdown. До версии 4.0.10 регулярное выражение `block.def` может вызвать катастрофический возврат против некоторых строк и привести к отказу в обслуживании регулярным выражением (ReDoS). Любой, кто запускает ненадежный markdown через уязвимую версию marked и не использует рабочий процесс с ограничением по времени, может быть затронут. Эта проблема исправлена в версии 4.0.10. В качестве обходного пути избегайте запуска ненадежного markdown через marked или запускайте marked в рабочем потоке и установите разумное ограничение по времени, чтобы предотвратить истощение ресурсов.

CVE-2021-46823python-ldap до версии 3.4.0 уязвим к отказу в обслуживании, когда ldap.schema используется для ненадежных определений схемы из-за ошибки отказа в обслуживании регулярных выражений (ReDoS) в анализаторе схемы LDAP. Отправляя специально созданные входные данные регулярного выражения, удаленный прошедший проверку подлинности злоумышленник может использовать эту уязвимость для вызова состояния отказа в обслуживании.

CVE-2025-46821Envoy - это облачный граничный/промежуточный/сервисный прокси. До версий 1.34.1, 1.33.3, 1.32.6 и 1.31.8 сопоставитель шаблонов URI в Envoy неправильно исключал символ `*` из набора допустимых символов в пути URI. В результате пути URI, содержащие символ `*`, не соответствовали выражениям шаблона URI. Это может привести к обходу правил RBAC при настройке с использованием разрешений `uri_template` [1]. Эта уязвимость устранена в версиях Envoy v1.34.1, v1.33.3, v1.32.6, v1.31.8. В качестве обходного пути рекомендуется настроить дополнительные разрешения RBAC с использованием `url_path` с выражением `safe_regex`. Источники: - [1] https://github.com/envoyproxy/envoy/security/advisories/GHSA-c7cm-838g-6g67