发布日期：2026-02-04
更新日期：2026-04-13

受影响系统：

brace-expansion brace-expansion < 5.0.1

描述：

---

CVE(CAN) ID: CVE-2026-25547

brace-expansion是Julian Gruber个人开发者的一个JavaScript中的Brace扩展。
brace-expansion 5.0.1之前版本存在拒绝服务漏洞，该漏洞源于处理包含重复数字花括号范围的模式时，会同步尝试展开所有可能的组合，导致展开数量呈指数级增长，攻击者可利用该漏洞提供特制的模式使库消耗大量CPU和内存，导致Node.js进程崩溃。

<**>

建议：

---

厂商补丁：

brace-expansion
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/isaacs/brace-expansion/security/advisories/GHSA-7h2j-956f-4vf2

浏览次数：17
严重程度：0（网友投票）