CWE-407КлассНеполный
Неэффективная алгоритмическая сложность
Алгоритм в продукте обладает неэффективной вычислительной сложностью в наихудшем случае, которая может негативно сказываться на производительности системы и может быть намеренно вызвана злоумышленником с помощью специально сформированных манипуляций, гарантирующих достижение наихудшего случая.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2015-8391Функция pcre_compile в pcre_compile.c в PCRE до версии 8.38 неправильно обрабатывает определенные вложения [: , что позволяет удаленным злоумышленникам вызывать отказ в обслуживании (потребление ЦП) или, возможно, оказывать другое неуказанное воздействие через специально созданное регулярное выражение, как продемонстрировано объектом JavaScript RegExp, обнаруженным Konqueror.
CVE-2026-27903minimatch is a minimal matching utility for converting glob expressions into JavaScript RegExp objects. Prior to version 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5, and 3.1.3, `matchOne()` performs unbounded recursive backtracking when a glob pattern contains multiple non-adjacent `**` (GLOBSTAR) segments and the input path does not match. The time complexity is O(C(n, k)) -- binomial -- where `n` is the number of path segments and `k` is the number of globstars. With k=11 and n=30, a call to the default `minimatch()` API stalls for roughly 5 seconds. With k=13, it exceeds 15 seconds. No memoization or call budget exists to bound this behavior. Any application where an attacker can influence the glob pattern passed to `minimatch()` is vulnerable. The realistic attack surface includes build tools and task runners that accept user-supplied glob arguments (ESLint, Webpack, Rollup config), multi-tenant systems where one tenant configures glob-based rules that run in a shared process, admin or developer interfaces that accept ignore-rule or filter configuration as globs, and CI/CD pipelines that evaluate user-submitted config files containing glob patterns. An attacker who can place a crafted pattern into any of these paths can stall the Node.js event loop for tens of seconds per invocation. The pattern is 56 bytes for a 5-second stall and does not require authentication in contexts where pattern input is part of the feature. Versions 10.2.3, 9.0.7, 8.0.6, 7.4.8, 6.2.2, 5.1.8, 4.2.5, and 3.1.3 fix the issue.
CVE-2026-1285Отказ в обслуживании в Django
CVE-2025-64460An issue was discovered in 5.2 before 5.2.9, 5.1 before 5.1.15, and 4.2 before 4.2.27. Algorithmic complexity in `django.core.serializers.xml_serializer.getInnerText()` allows a remote attacker to cause a potential denial-of-service attack triggering CPU and memory exhaustion via specially crafted XML input processed by the XML `Deserializer`. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Seokchan Yoon for reporting this issue.
CVE-2025-64458An issue was discovered in 5.1 before 5.1.14, 4.2 before 4.2.26, and 5.2 before 5.2.8. NFKC normalization in Python is slow on Windows. As a consequence, `django.http.HttpResponseRedirect`, `django.http.HttpResponsePermanentRedirect`, and the shortcut `django.shortcuts.redirect` were subject to a potential denial-of-service attack via certain inputs with a very large number of Unicode characters. Earlier, unsupported Django series (such as 5.0.x, 4.1.x, and 3.2.x) were not evaluated and may also be affected. Django would like to thank Seokchan Yoon for reporting this issue.
CVE-2025-62727Starlette is a lightweight ASGI framework/toolkit. Starting in version 0.39.0 and prior to version 0.49.1 , an unauthenticated attacker can send a crafted HTTP Range header that triggers quadratic-time processing in Starlette's FileResponse Range parsing/merging logic. This enables CPU exhaustion per request, causing denial‑of‑service for endpoints serving files (e.g., StaticFiles or any use of FileResponse). This vulnerability is fixed in 0.49.1.
CVE-2025-58187This update upgrades golang to version 1.24.9-alt1.
Security Fix(es):
* BDU:2025-13562: Уязвимость компонента crypto-x509 языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании
* CVE-2025-58187: Due to the design of the name constraint checking algorithm, the processing time of some inputs scale non-linearly with respect to the size of the certificate. This affects programs which validate arbitrary certificate chains.
CVE-2025-27209Выпуск V8, используемый в Node.js v24.0.0, изменил способ вычисления хэшей строк с помощью rapidhash. Эта реализация вновь вводит уязвимость HashDoS, поскольку злоумышленник, контролирующий строки для хэширования, может генерировать множество коллизий хэшей - злоумышленник может генерировать коллизии даже не зная хэш-ключа [1].
Источники:
- [1] https://nodejs.org/en/blog/vulnerability/july-2025-security-releases
CVE-2025-14550Отказ в обслуживании в Django
CVE-2025-11230This update upgrades haproxy to version 2.6.23-alt1.
Security Fix(es):
* BDU:2025-13169: Уязвимость серверного программного обеспечения HAProxy, связанная с алгоритмической сложностью, позволяющая нарушителю вызвать отказ в обслуживании
* CVE-2025-11230: Inefficient algorithm complexity in mjson in HAProxy allows remote attackers to cause a denial of service via specially crafted JSON requests.
CVE-2024-9631Обнаружена проблема в GitLab CE/EE, затрагивающая все версии, начиная с 13.6 до 17.2.9, с 17.3 до 17.3.5 и с 17.4 до 17.4.2, где просмотр различий MR с конфликтами может быть медленным.
CVE-2024-8237Обнаружена проблема типа «отказ в обслуживании» (DoS) в GitLab CE/EE, затрагивающая все версии до 12.6 до 17.4.5, 17.5 до 17.5.3 и 17.6 до 17.6.1. Злоумышленник может вызвать отказ в обслуживании с помощью специально созданного файла cargo.toml.
CVE-2024-8233Обнаружена проблема в GitLab CE/EE, затрагивающая все версии с 9.4 до 17.4.6, 17.5 до 17.5.4 и 17.6 до 17.6.2. Злоумышленник может вызвать отказ в обслуживании с помощью запросов файлов diff в коммите или запросе на слияние.
CVE-2024-8177Проблема была обнаружена в GitLab CE/EE, затрагивающая все версии, начиная с 15.6 до 17.4.5, начиная с 17.5 до 17.5.3, начиная с 17.6 до 17.6.1, что может привести к отказу в обслуживании из-за интеграции вредоносного реестра harbor.
CVE-2024-43485Уязвимость типа «отказ в обслуживании» в .NET и Visual Studio.