npm-user-validate 安全漏洞

CVE编号

CVE-2020-7754

利用情况

EXP 已公开

补丁情况

官方补丁

披露时间

2020-10-28

漏洞描述

npm-user-validate是美国npm公司的一个应用于 npm client 和 npm-www 校验的 npm 代码库。 npm-user-validate 1.0.1之前版本存在安全漏洞，该漏洞源于用于验证用户电子邮件的正则表达式处理以@字符开头的长输入字符串所花费的时间呈指数级增长。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接： https://github.com/npm/npm-user-validate/commit/c8a87dac1a4cc6988b5418f30411a8669bef204e

参考链接
https://github.com/npm/npm-user-validate/commit/c8a87dac1a4cc6988b5418f30411a...
https://github.com/npm/npm-user-validate/security/advisories/GHSA-xgh6-85xh-479p
https://snyk.io/vuln/SNYK-JAVA-ORGWEBJARSNPM-1019353
https://snyk.io/vuln/SNYK-JS-NPMUSERVALIDATE-1019352

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	npmjs	npm-user-validate	*		Up to (excluding) 1.0.1
	运行在以下环境
	系统	alibaba_cloud_linux_2.1903	npm	*		Up to (excluding) 14.15.4-2.1.al8
	运行在以下环境
	系统	centos_8	nodejs-full-i18n	*		Up to (excluding) 1.18.3-1.module+el8+2632+6c5111ed
	运行在以下环境
	系统	oracle_8	nodejs	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	oracle_8	nodejs-devel	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	oracle_8	nodejs-docs	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	oracle_8	nodejs-full-i18n	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	oracle_8	nodejs-nodemon	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	oracle_8	nodejs-packaging	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	oracle_8	npm	*		Up to (excluding) 10.23.1-1.module+el8.3.0+9642+87902f83
	运行在以下环境
	系统	redhat_8	nodejs-full-i18n	*		Up to (excluding) 1.18.3-1.module+el8+2632+6c5111ed
查看完整数据

阿里云评分 4.1

• 攻击路径 远程
• 攻击复杂度 容易
• 权限要求 普通权限
• 影响范围 有限影响
• EXP成熟度 EXP 已公开
• 补丁情况 官方补丁
• 数据保密性 数据泄露
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID 漏洞类型 NVD-CWE-noinfo