Kurwov是一个快速且无依赖性的库,用于创建Markov链。在`MarkovData#getNext`方法中对数据集内容进行不安全的处理,在`Markov#generate`和`Markov#choose`方法中使用,允许数据集中恶意构造的字符串抛出异常并阻止函数正常运行。如果一个字符串包含一个被禁止的子字符串(例如`__proto__`)后跟一个空格字符,代码将通过删除字符串的最后一个字符访问`MarkovData#finalData`中的特殊属性,绕过数据集的净化(因为在调用此函数之前应该已经对数据集进行了净化)。任何数据集都可能被这个子字符串污染,在某些情况下可能无法正确生成任何内容。这个问题在版本3.2.5中已得到解决,建议所有用户升级。对于这个漏洞,目前没有已知的解决方法。
建议您更新当前系统或软件至最新版,完成漏洞的修复。