Серовар облегчает струнификацию значения JS, включая сложные структуры за пределами возможностей JSON.stringify. В версиях от 0.2.0 до 1.4.…
Серовар облегчает струнификацию значения JS, включая сложные структуры за пределами возможностей JSON.stringify. В версиях от 0.2.0 до 1.4.0 преобладающая сериализация RegExp с чрезвычайно большими шаблонами может исчерпать память времени выполнения JavaScript во время десериализации. Кроме того, преодоление сериализации RegExp с шаблонами, которые вызывают катастрофическое обратное отслеживание, может привести к ReDoS (Regular Expression Denial of Service). Эта проблема была исправлена в версии 1.4.1.
Продукт использует регулярное выражение с неэффективной, возможно экспоненциальной вычислительной сложностью в худшем случае, что ведёт к избыточному потреблению ресурсов CPU.
https://cwe.mitre.org/data/definitions/1333.html →Открыть в коллекции CWE →Злоумышленник может реализовать атаку на программу, использующую неэффективную реализацию регулярных выражений (Regex), подобрав входные данные, приводящие к крайне неблагоприятному сценарию работы Regex. Типичный крайний сценарий характеризуется экспоненциальным временем работы относительно размера входных данных. Это объясняется тем, что большинство реализаций использует недетерминированный конечный автомат (NFA) в качестве основы алгоритма Regex, поскольку NFA допускает обратный просмотр и тем самым поддерживает более сложные регулярные выражения.
https://capec.mitre.org/data/definitions/492.html →Открыть в коллекции CAPEC →