概述

CVE-2024-21538 是 cross-spawn 库中存在的一个正则表达式拒绝服务（ReDoS）漏洞。由于该库在处理用户输入中的特定字符（如反斜杠）时存在不当操作，攻击者可以利用该漏洞通过构造恶意输入导致系统资源消耗异常，从而使应用响应变慢甚至崩溃。本文将详细解析该漏洞的技术细节，并通过实例帮助读者更好地理解 ReDoS 漏洞的原理及防范方法。

漏洞详情

在 cross-spawn 库中，开发者使用正则表达式对字符串中的反斜杠和双引号进行转义处理。具体代码如下：

// 转义双引号，并对反斜杠加倍
arg = arg.replace(/(\\*)"/g, '$1$1\\"');
// 处理字符串末尾的反斜杠，确保反斜杠不被截断
arg = arg.replace(/(\\*)$/, '$1$1');

这些正则表达式在通常情况下可以处理少量的反斜杠字符。但当输入包含大量连续的反斜杠时，正则表达式引擎会触发灾难性回溯，导致程序卡顿，甚至崩溃。攻击者可以通过构造恶意输入诱导系统过载，从而进行拒绝服务（DoS）攻击。

正则表达式的灾难性回溯

正则表达式的匹配过程依赖于回溯机制，尤其是当正则表达式包含嵌套的贪婪量词（如 * 或 +）时。灾难性回溯的发生通常是在遇到以下几种情况时：

实际案例

以下示例展示了正则表达式在匹配失败时如何导致回溯。考虑正则表达式 /A(B|C+)+D/：

const regex = /A(B|C+)+D/;
const input = "ACCCCCCCCCCCCCCCCCCCCCCCCCCCCX";

当输入字符串 input 不满足结尾的 D 时，引擎会尝试每种可能的匹配方式。在每种组合中，都会导致回溯，增加 CPU 使用率并降低程序性能。对于较长的字符串，此过程可能会导致应用无响应。

漏洞的示例代码（PoC）

以下代码展示了如何触发 cross-spawn 库中的 ReDoS 漏洞：

const { argument } = require('cross-spawn/lib/util/escape');
let str = "";
for (let i = 0; i < 1000000; i++) {
  str += "\\";
}
str += "◎";
console.log("start");
argument(str);  // 执行该函数会导致CPU飙升，并进入无响应状态
console.log("end");

在这个例子中，字符串 str 包含 100 万个连续的反斜杠和一个特殊字符。调用 argument 函数后，正则表达式会因灾难性回溯导致程序无法继续响应。

实际应用中的类似问题

在实际应用中，如果开发者在处理用户输入时未能妥善处理正则表达式，类似的漏洞可能会被攻击者利用。例如：

登录系统中的用户名校验：表单处理中的文本字段：示例2：HTML注释的匹配易受攻击的正则表达式

这个正则表达式的目的是匹配HTML注释。这里的.表示可以匹配任意字符，*?表示匹配零个或多个字符。然而，这种写法在处理复杂的输入时可能导致效率低下，甚至使程序崩溃。

实际应用例子

假设你正在开发一个网页解析工具，需要提取HTML中的注释。如果输入的HTML代码中包含多个空格或注释，程序可能会因为过度的回溯而变得非常缓慢，甚至无响应。这就是ReDoS漏洞的表现。

修复后的正则表达式

通过将正则表达式修改为，我们限制了匹配的范围，避免了对多个字符的模糊匹配。这种方式显著提高了匹配效率，降低了被攻击的风险。

示例3：snake_case标识符易受攻击的正则表达式

(\w+_?)+

这个正则表达式的目的是匹配snake_case格式的标识符，允许字母和下划线的组合。然而，它允许了多种匹配方式，导致了回溯问题，可能引发性能瓶颈。

实际应用例子

在一个需要验证用户输入的API中，用户可能会提交各种格式的标识符。如果正则表达式处理不当，当输入复杂的字符串时，API可能会出现延迟或崩溃，影响用户体验。

修复后的正则表达式

(\w+_)+\d+

将正则表达式改为(\w+_)+\d+，可以确保标识符的格式更加具体，避免了不必要的重复匹配。这种修改有效地防止了性能下降，确保了系统的稳定性。

防范措施

为避免类似的 ReDoS 漏洞，建议采取以下防范措施：

优化正则表达式：

使用占有量词：

限制输入长度：

使用 RE2 等安全的正则表达式库：

结论

CVE-2024-21538 展现了正则表达式处理输入数据时的不当设计如何成为攻击者的工具。开发者应对正则表达式的回溯问题保持警觉，采取适当措施保护系统。通过优化代码和谨慎设计，避免 ReDoS 风险可以确保应用的稳定性和安全性。

参考链接