发布日期：2021-03-17
更新日期：2021-10-26

受影响系统：

ua-parser-js ua-parser-js >= 0.7.14
ua-parser-js ua-parser-js < 0.7.24

描述：

---

CVE(CAN) ID: CVE-2021-27292

ua-parser-js是基于JavaScript的User-Agent字符串解析器。可以在浏览器（客户端）或node.js（服务器端）环境中使用。
ua-parser-js 0.7.14-0.7.24之间版本存在拒绝服务漏洞。该漏洞源于程序在处理恶意用户代理头时未对内部资源消耗进行正确控制。远程攻击者可利用该漏洞触发资源耗尽并执行拒绝服务(ReDoS)攻击。

<**>

建议：

---

厂商补丁：

ua-parser-js
------------
目前厂商已经发布了升级补丁以修复这个安全问题，补丁获取链接：

https://github.com/pygments/pygments/commit/2e7e8c4a7b318f4032493773732754e418279a14

浏览次数：821
严重程度：0（网友投票）