Pcre2
Уязвимости
11
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.09157
Распределение по критичности
Критический
2
Высокий
6
Средний
2
Низкий
1
Затронутые диапазоны версий
10.31–10.3410.45–10.46< 10.30< 10.40< 10.41≤ 10.21
Также сопоставлено как (исходные строки): pcre2,pcre
Топ уязвимостей
CVE-2016-3191Функция compile_branch в pcre_compile.c в PCRE 8.x до 8.39 и pcre2_compile.c в PCRE2 до 10.22 неправильно обрабатывает шаблоны, содержащие подстроку (*ACCEPT) в сочетании с вложенными круглыми скобками, что позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (переполнение буфера на основе стека) через специально созданное регулярное выражение, как продемонстрировано объектом JavaScript RegExp, обнаруженным Konqueror, также известным как ZDI-CAN-3542.
CVE-2015-3210Переполнение буфера на основе кучи в PCRE 8.34 до 8.37 и PCRE2 10.10 позволяет удаленным злоумышленникам выполнять произвольный код через специально созданное регулярное выражение, как продемонстрировано /^(?P=B)((?P=B)(?J:(?P<B>c)(?P<B>a(?P=B)))>WGXCREDITS)/, что является другой уязвимостью, чем CVE-2015-8384.
CVE-2017-8399PCRE2 до версии 10.30 имеет ошибку записи за границами, вызванную переполнением буфера на основе стека в pcre2_match.c, связанным с "шаблоном с очень большим количеством захватов".
CVE-2022-1587В библиотеке PCRE2 в функции get_recurse_data_length() файла pcre2_jit_compile.c была обнаружена уязвимость чтения за пределами выделенной области памяти. Эта проблема затрагивает рекурсии в JIT-скомпилированных регулярных выражениях, вызванные дублированием передачи данных.
CVE-2022-1586В библиотеке PCRE2 в функции compile_xclass_matchingpath() файла pcre2_jit_compile.c была обнаружена уязвимость чтения за пределами выделенной области памяти. Это связано с проблемой сопоставления свойств unicode в JIT-скомпилированных регулярных выражениях. Проблема возникает из-за того, что символ не был полностью прочитан при сопоставлении без учета регистра в JIT.
CVE-2019-20454В PCRE до версии 10.34 обнаружено чтение за пределами выделенной области памяти, когда шаблон \X компилируется JIT и используется для сопоставления специально созданных объектов в режиме non-UTF. Приложения, использующие PCRE для анализа ненадежных входных данных, могут быть уязвимы к этому недостатку, который позволит злоумышленнику вызвать сбой приложения. Ошибка возникает в do_extuni_no_utf в pcre2_jit_compile.c.
CVE-2017-7186libpcre1 в PCRE 8.40 и libpcre2 в PCRE2 10.23 позволяют удаленным злоумышленникам вызывать отказ в обслуживании (нарушение сегментации для доступа на чтение и сбой приложения), вызывая недопустимый поиск свойства Unicode.
CVE-2015-3217PCRE 7.8 и 8.32 до 8.37, а также PCRE2 10.10 неправильно обрабатывают пустые соответствия групп, что может позволить удаленным злоумышленникам вызвать отказ в обслуживании (переполнение буфера на основе стека) через специально созданное регулярное выражение, как продемонстрировано /^(?:(?(1)\\.|([^\\\\W_])?)+)+$/.
CVE-2025-58050В библиотеке PCRE2 версии 10.45 обнаружена уязвимость heap-buffer-overflow read в движке сопоставления регулярных выражений PCRE2. Уязвимость может потенциально привести к раскрытию информации, если данные, прочитанные за пределами буфера, влияют на конечный результат сопоставления [1].
Источники:
- [1] https://github.com/PCRE2Project/pcre2/security/advisories/GHSA-c2gv-xgf5-5cc2
CVE-2022-41409Уязвимость переполнения целого числа в pcre2test до 10.41 позволяет злоумышленникам вызвать отказ в обслуживании или другие неуказанные последствия через отрицательный ввод.
CVE-2017-8786pcre2test.c в PCRE2 10.23 позволяет удаленным злоумышленникам вызывать отказ в обслуживании (переполнение буфера на основе кучи) или, возможно, иметь другие неуказанные последствия через специально созданное регулярное выражение.