背景
有个安全扫描的流水线,扫描了负责的项目之后,发现一些漏洞。
需要说明的是,这个扫描只是针对package.json文件,扫的是依赖树,而不是项目源代码,也不是打包后的代码。
但既然是漏洞,都是可以好好学习下的。
nodejs-glob-parent正则表达式拒绝服务漏洞(CVE-2020-28469)
被扫描出来的是下面这样的:
从阿里云漏洞库中可以知道具体是什么漏洞。
CVE-2020-28469漏洞的详情如下:
nodejs是一个基于Chrome V8引擎的JavaScript运行环境,通过对Chrome V8引擎进行了封装以及使用事件驱动和非阻塞IO的应用。让Javascript开发高性能的后台应用成为了可能。
nodejs-glob-parent 存在安全漏洞,该漏洞源于正则表达式拒绝服务。
详情:package.json依赖包漏洞之nodejs-glob-parent正则表达式拒绝服务漏洞
标签:拒绝服务,parent,nodejs,正则表达式,glob,漏洞 From: https://www.cnblogs.com/simonbaker/p/18434216