path-to-regexp GHSA-9wv6-86v2-598j #5355
Assignees
Comments
|
https://github.com/pillarjs/path-to-regexp/blob/master/History.md 改动好大,没法直接升级 major 版本 |
|
跪求,我们现在用了egg的框架,但是因为这个CVE已经影响了 release了,我们是一个k8s 产品中的一个pod。估计这个release可以混一混或许能过去,但是如果一直不修,下个release就死定了 |
|
path to regexp 是个很底层的库,感觉是个web app/ resetapi app都会有用到 |
|
我先看看怎么在现有版本上修复 |
|
感谢 |
|
https://blakeembrey.com/posts/2024-09-web-redos/ 按作者的 blog 描述,目前这个不好修复,我们使用的是 1.x 分支,官方也没有修复 pillarjs/path-to-regexp#318 |
|
@Harvey1976 你可以使用 https://makenowjust-labs.github.io/recheck/playground/ 来检查你的路由配置是否命中规则。 |
|
pillarjs/path-to-regexp#320 最新的 1.9.0 已经修复。 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
在此输入你需要反馈的 Bug 具体信息(Bug in Detail):
-- egg@3.27.1-- egg-core@5.4.1+-- @eggjs/router@2.0.1
|
-- path-to-regexp@1.8.0-- egg-path-matching@1.1.0`-- path-to-regexp@1.8.0 deduped
GHSA-9wv6-86v2-598j
can we upgrade the related path-to-regexp to patched version (8.0.0)
可复现问题的仓库地址(Reproduction Repo)
https://github.com/eggjs/egg-router/blob/master/package.json
https://github.com/eggjs/egg-path-matching/blob/master/package.json
Node 版本号:
18.17
Eggjs 版本号:
3.27.1
相关插件名称与版本号(PlugIn and Name):
@eggjs/router && egg-path-matching
操作平台与版本号(Platform and Version):
redhat linux ubi 8
The text was updated successfully, but these errors were encountered: