CVE-2022-21680

Cubic catastrophic backtracking (ReDoS) in marked

CVSS 7.5 HIGHEPSS 2.8%CWE-1333 CWE-400

En resumen

Marked, un analizador de markdown, tiene una falla en su código de coincidencia de patrones que puede explotarse enviando texto markdown especialmente construido, haciendo que el analizador se congele o consuma recursos excesivos y quede indisponible.

Detalle técnico

La expresión regular en el patrón `block.def` exhibe retroceso catastrófico (ReDoS) al procesar cierta entrada de markdown maliciosa. Un atacante puede enviar cadenas de markdown elaboradas para desencadenar tiempo de coincidencia exponencial de regex, resultando en denegación de servicio. Esto afecta a cualquier aplicación que procese markdown no confiable con versiones de marked anteriores a 4.0.10 sin límites de recursos o aislamiento en threads.

Resumen generado y traducido por IA a partir de la descripción oficial.

Marked is a markdown parser and compiler. Prior to version 4.0.10, the regular expression `block.def` may cause catastrophic backtracking against some strings and lead to a regular expression denial of service (ReDoS). Anyone who runs untrusted markdown through a vulnerable version of marked and does not use a worker with a time limit may be affected. This issue is patched in version 4.0.10. As a workaround, avoid running untrusted markdown through marked or run marked on a worker thread and set a reasonable time limit to prevent draining resources.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

markedjs · marked

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/markedjs/marked/commit/c4a3ccd344b6929afa8a1d50ac54a721e57012c0 https://github.com/markedjs/marked/releases/tag/v4.0.10 https://github.com/markedjs/marked/security/advisories/GHSA-rrrm-qjm4-v8hf https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/AIXDMC3CSHYW3YWVSQOXAWLUYQHAO5UX/