CVE-2026-35213@hapi/content是一个用于解析HTTP Content-*头部的Node.js库。该库在6.0.0及之前的版本中存在正则表达式拒绝服务漏洞。攻击者可以通过发送特制的Content-Type或Content-Disposition头部值,触发解析器中正则表达式的灾难性回溯。这会导致消耗大量CPU资源,从而使服务变得无响应或崩溃。该漏洞影响服务的可用性,目前已在6.0.1版本中修复。
该漏洞属于正则表达式拒绝服务攻击。@hapi/content库中使用了三个正则表达式来解析Content-Type和Content-Disposition头部。这些正则表达式中包含了可能导致灾难性回溯的模式。当攻击者发送包含特定字符组合的恶意头部值时,正则表达式引擎会尝试匹配所有可能的路径组合,导致指数级的计算时间增长。由于解析HTTP头部通常发生在请求处理的早期阶段,攻击者无需身份认证即可通过网络发送恶意请求。这种攻击会耗尽服务器CPU资源,导致Node.js事件循环阻塞,进而导致整个Web应用无法响应其他正常请求,造成拒绝服务。CVSS 3.1评分为7.5,属于高危漏洞。