安全研究
安全漏洞
@tootallnate/once @tootallnate/once拒绝服务漏洞(CVE-2026-3449)
发布日期:2026-03-03
更新日期:2026-06-22
受影响系统:@tootallnate/once @tootallnate/once < 3.0.1
描述:
CVE(CAN) ID:
CVE-2026-3449
@tootallnate/once是Nathan Rajlich个人开发者开源的一个JavaScript代码库。
@tootallnate/once 3.0.1之前版本存在拒绝服务漏洞,该漏洞源于使用AbortSignal选项时,Promise解析存在控制流作用域错误,信号中止后Promise保持永久挂起状态,导致任何await或.then()使用无限期挂起,攻击者可利用该漏洞引发控制流资源泄漏,导致请求卡死、工作线程阻塞、应用服务可用性下降。
<**>
建议:
厂商补丁:
@tootallnate/once
-----------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/TooTallNate/once/commit/b9f43cc5259bee2952d91ad3cdbd201a82df448a浏览次数:26
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |