CVE-2026-4923: Path-to-regexp 8.3.0 存在正则表达式拒绝服务 (ReDoS) 漏洞

一个影响广泛使用的 Node.js 库 `path-to-regexp` 的中等严重性漏洞已被披露。该漏洞被追踪为 CVE-2026-4923，CVSS 评分为 5.9，可能导致正则表达式拒绝服务攻击。核心风险在于，当路径模式中同时使用多个通配符和至少一个参数时，库生成的特定正则表达式会变得脆弱，攻击者可能利用其回溯机制发起 ReDoS 攻击，导致服务器资源耗尽。值得注意的是，此漏洞仅在第二个通配符不在路径末尾的特定配置下触发。

受影响的版本为 `path-to-regexp` 8.3.0。该库是 Express.js 等流行 Node.js 框架中用于将路径字符串转换为正则表达式的核心组件，在 AWS ECR 容器镜像等云原生部署中广泛存在。漏洞报告提供了一个具体的 AWS 资源标识符作为示例，表明该漏洞已在生产环境中被识别。安全示例与不安全示例的对比清晰地揭示了漏洞的触发条件：例如，模式 `/*foo-*bar-:baz` 或 `/*a-:b-*c-:d` 是不安全的，而 `/*foo-:bar` 则是安全的。

维护者已发布修复版本 8.4.0。对于无法立即升级的用户，建议的缓解措施包括检查正则表达式输出。鉴于该库在 Node.js 生态中的基础地位，此漏洞对依赖该库进行路由解析的 Web 应用程序和服务构成了潜在风险。开发者和运维团队需在 60 天的 SLA 窗口内评估其应用并应用补丁，以降低服务中断风险。