CVE-2022-21681
Exponential catastrophic backtracking (ReDoS) in marked
En resumen
Marked, un analizador de markdown, contiene un error en su expresión regular que puede causar lentitud extrema al procesar ciertas cadenas maliciosas, potencialmente congelando o derribando aplicaciones que analizan markdown no confiable sin límites de recursos.
Detalle técnico
La regex inline.reflinkSearch presenta retroceso catastrófico exponencial (ReDoS) al procesar patrones de entrada específicos, permitiendo denegación de servicio contra aplicaciones que analizan markdown no confiable. La explotación requiere que la víctima procese una cadena markdown malformada en versiones vulnerables de marked anteriores a 4.0.10; el impacto es indisponibilidad por agotamiento de CPU.
Resumen generado y traducido por IA a partir de la descripción oficial.
Marked is a markdown parser and compiler. Prior to version 4.0.10, the regular expression `inline.reflinkSearch` may cause catastrophic backtracking against some strings and lead to a denial of service (DoS). Anyone who runs untrusted markdown through a vulnerable version of marked and does not use a worker with a time limit may be affected. This issue is patched in version 4.0.10. As a workaround, avoid running untrusted markdown through marked or run marked on a worker thread and set a reasonable time limit to prevent draining resources.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Productos afectados
markedjs · marked¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →