← voltar
CVE-2022-21681

Exponential catastrophic backtracking (ReDoS) in marked

CVSS 7.5 HIGHEPSS 2.7%CWE-1333CWE-400
Em resumo

O Marked, um analisador de markdown, possui um erro em sua expressão regular que pode causar lentidão extrema ao processar certas strings maliciosas, podendo congelar ou derrubar aplicações que analisam markdown não confiável sem controle de recursos.

Detalhe técnico

A regex inline.reflinkSearch sofre de retrocesso catastrófico exponencial (ReDoS) ao processar padrões de entrada específicos, permitindo negação de serviço contra aplicações que analisam markdown não confiável. A exploração requer que a vítima processe uma string markdown malformada em versões vulneráveis do marked anteriores à 4.0.10; o impacto é indisponibilidade por esgotamento de CPU.

Resumo gerado e traduzido por IA a partir da descrição oficial.
Marked is a markdown parser and compiler. Prior to version 4.0.10, the regular expression `inline.reflinkSearch` may cause catastrophic backtracking against some strings and lead to a denial of service (DoS). Anyone who runs untrusted markdown through a vulnerable version of marked and does not use a worker with a time limit may be affected. This issue is patched in version 4.0.10. As a workaround, avoid running untrusted markdown through marked or run marked on a worker thread and set a reasonable time limit to prevent draining resources.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
markedjs · marked

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →
Referências
https://github.com/markedjs/marked/commit/8f806573a3f6c6b7a39b8cdb66ab5ebb8d55a5f5https://github.com/markedjs/marked/security/advisories/GHSA-5v2h-r2cx-5xgjhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/AIXDMC3CSHYW3YWVSQOXAWLUYQHAO5UX/