Это затрагивает версии пакета angular, начиная с 1.3.0. Регулярное выражение, используемое для разделения значения директивы ng-srcset, уяз…
Это затрагивает версии пакета angular, начиная с 1.3.0. Регулярное выражение, используемое для разделения значения директивы ng-srcset, уязвимо для суперлинейного времени выполнения из-за возврата. При большом тщательно разработанном вводе это может привести к катастрофическому возврату и вызвать отказ в обслуживании. **Примечание:** Этот пакет EOL и не получит никаких обновлений для решения этой проблемы. Пользователям следует перейти на [@angular/core](https://www.npmjs.com/package/@angular/core).
Продукт использует регулярное выражение с неэффективной, возможно экспоненциальной вычислительной сложностью в худшем случае, что ведёт к избыточному потреблению ресурсов CPU.
https://cwe.mitre.org/data/definitions/1333.html →Открыть в коллекции CWE →Злоумышленник может реализовать атаку на программу, использующую неэффективную реализацию регулярных выражений (Regex), подобрав входные данные, приводящие к крайне неблагоприятному сценарию работы Regex. Типичный крайний сценарий характеризуется экспоненциальным временем работы относительно размера входных данных. Это объясняется тем, что большинство реализаций использует недетерминированный конечный автомат (NFA) в качестве основы алгоритма Regex, поскольку NFA допускает обратный просмотр и тем самым поддерживает более сложные регулярные выражения.
https://capec.mitre.org/data/definitions/492.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | Отслеживается | |
| angular.js | * | Отслеживается |