## ua-parser-js 依赖更新修复高危正则表达式拒绝服务漏洞 (CVE-2021-27292)
一个广泛使用的 JavaScript 用户代理解析库 `ua-parser-js` 被发现存在一个高危漏洞，攻击者可通过构造恶意的 `User-Agent` 请求头，使依赖该库的应用程序陷入长时间的处理停滞，从而导致拒绝服务。该漏洞的 CVSS 评分为 7.5（高危），影响自 0.7.14 版本起的所有版本。自动化依赖管理工具 Renovate 已发布更新建议，将依赖升级至已修复此问题的 0.7.24 版本。

该漏洞的根源在于库中用于解析用户代理字符串的一个正则表达式存在缺陷。当攻击者发送一个精心设计的恶意 `User-Agent` 字符串时，该正则表达式的匹配过程会消耗大量计算资源，使 Node.js 进程或浏览器线程陷入“灾难性回溯”，最终导致服务不可用。由于 `ua-parser-js` 被数百万个项目使用，包括许多流行的 Web 框架和中间件，此漏洞的潜在影响范围极广。

虽然漏洞已在 2021 年被分配 CVE 编号并得到修复，但大量项目可能仍在使用存在漏洞的旧版本。此次通过自动化工具触发的依赖更新提醒，凸显了持续监控和及时更新第三方依赖的重要性，尤其是在安全补丁发布之后。对于开发和运维团队而言，未能及时应用此补丁可能使其 Web 服务暴露在简单的低复杂度攻击风险之下。
---
- **Source**: GitHub Issues
- **Sector**: The Lab
- **Tags**: CVE-2021-27292, 安全漏洞, 依赖管理, 拒绝服务, 正则表达式
- **Credibility**: unverified
- **Published**: 2026-04-15 10:22:55
- **ID**: 65358
- **URL**: https://whisperx.ai/en/intel/65358