OpenSearch-Dashboards项目中Babel依赖的安全问题分析与应对

问题背景

在OpenSearch-Dashboards项目中，发现多个Babel相关依赖存在中等严重程度的安全问题(CVE-2025-27789)。该问题影响项目中的多个关键组件，包括运行时辅助函数和核心JS支持库。

技术细节

该问题源于Babel编译器在处理正则表达式命名捕获组时的实现方式。当使用受影响版本的Babel编译包含命名捕获组的正则表达式，并调用.replace方法时，生成的polyfill代码在某些特定替换模式字符串下会表现出二次方时间复杂度。

具体来说，问题存在于以下场景：

1. 使用Babel编译正则表达式命名捕获组
2. 在包含命名捕获组的正则表达式上调用.replace方法
3. 使用不受信任的字符串作为.replace方法的第二个参数

影响范围

在OpenSearch-Dashboards项目中，受影响的Babel相关组件包括：

• @babel/runtime 7.27.0和7.23.2版本
• @babel/helpers 7.26.9和7.23.2版本
• @babel/runtime-corejs3 7.17.8版本

这些组件通过项目依赖树中的多个路径被引入，影响了项目的核心功能模块和开发工具链。

潜在风险

虽然该问题的CVSS 3.0评分为6.2(中等)，属于本地攻击向量且不需要特权，但它可能导致可用性问题。特定构造的输入字符串可能触发.replace方法的性能问题，最终可能导致服务异常情况。

解决方案

项目维护团队已经采取了以下措施：

1. 将受影响的Babel依赖升级到安全版本
2. 重新编译所有相关代码
3. 通过自动化工具监控依赖更新

对于使用类似技术栈的开发者，建议：

1. 检查项目中的Babel依赖版本
2. 优先升级到@babel/helpers 7.26.10或更高版本
3. 确保开发和生产环境中的代码都经过安全版本的重新编译

最佳实践

为避免类似问题，建议开发团队：

1. 建立定期的依赖安全检查机制
2. 使用自动化工具监控第三方库的安全更新
3. 在CI/CD流程中加入安全扫描环节
4. 保持依赖树的简洁，减少不必要的间接依赖

通过及时响应此类安全问题并建立长效机制，可以有效提升项目的安全性和稳定性。