CVE-2021-23362 npmjs hosted-git-info 其他

admin

0
文章

0
评论

2023-12-01 15:39:14 Ali_nvd 来源：ZONE.CI 全球网 0 阅读模式

低危 CVE-2021-23362 npmjs hosted-git-info 其他

CVE编号

CVE-2021-23362

利用情况

暂无

补丁情况

官方补丁

披露时间

2021-03-23

漏洞描述

Ruy Adorno hosted-git-info是Ruy Adorno开源的一个应用程序。提供识别和转换协议之间的各种git主机URL。 hosted-git-info before 3.0.8 存在安全漏洞，该漏洞源于容易受到来自fromUrl()的shortcutMatch正则表达式拒绝服务(ReDoS)的攻击。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://github.com/npm/hosted-git-info/commit/bede0dc38e1785e732bf0a48ba6f81a4a908eba3

参考链接
https://cert-portal.siemens.com/productcert/pdf/ssa-389290.pdf
https://github.com/npm/hosted-git-info/commit/29adfe5ef789784c861b2cdeb15051e...
https://github.com/npm/hosted-git-info/commit/8d4b3697d79bcd89cdb36d1db165e36...
https://github.com/npm/hosted-git-info/commit/bede0dc38e1785e732bf0a48ba6f81a...
https://github.com/npm/hosted-git-info/commits/v2
https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-1088356
https://snyk.io/vuln/SNYK-JS-HOSTEDGITINFO-1088355

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	npmjs	hosted-git-info	*		Up to (excluding) 3.0.8
	运行在以下环境
	系统	anolis_os_8	nodejs-devel	*		Up to (excluding) 2.0.3-1
	运行在以下环境
	系统	anolis_os_8.2	npm	*		Up to (excluding) 12.22.5-1
	运行在以下环境
	系统	centos_8	nodejs-docs	*		Up to (excluding) 6.14.13-1.12.22.3.2.module+el8.4.0+11732+c668cc9f
	运行在以下环境
	系统	debian_10	node-hosted-git-info	*		Up to (excluding) 2.7.1-1+deb10u1
	运行在以下环境
	系统	debian_11	node-hosted-git-info	*		Up to (excluding) 3.0.8-1
	运行在以下环境
	系统	debian_12	node-hosted-git-info	*		Up to (excluding) 3.0.8-1
	运行在以下环境
	系统	debian_9	node-hosted-git-info	*		Up to (including) 2.1.5-1
	运行在以下环境
	系统	debian_sid	node-hosted-git-info	*		Up to (excluding) 3.0.8-1
	运行在以下环境
	系统	opensuse_Leap_15.2	nodejs8	*		Up to (excluding) 12.22.2-lp152.3.15.1
	运行在以下环境
	系统	opensuse_Leap_15.3	nodejs8	*		Up to (excluding) 14.17.2-5.12.1
	运行在以下环境
	系统	oracle_8	oraclelinux-release	*		Up to (excluding) 6.14.13-1.12.22.3.2.module+el8.4.0+20281+eb64e322
	运行在以下环境
	系统	redhat_8	nodejs-docs	*		Up to (excluding) 12.22.3-2.module+el8.4.0+11732+c668cc9f