CVE-2022-21680
Cubic catastrophic backtracking (ReDoS) in marked
Em resumo
O Marked, um analisador de markdown, possui uma falha no seu código de busca de padrões que pode ser explorada enviando texto markdown especialmente construído, fazendo o analisador travar ou consumir recursos excessivos e ficar indisponível.
Detalhe técnico
A expressão regular no padrão `block.def` apresenta retrocesso catastrófico (ReDoS) ao processar certas entradas de markdown maliciosas. Um atacante pode enviar strings de markdown elaboradas para disparar tempo de correspondência exponencial na regex, resultando em negação de serviço. Isso afeta qualquer aplicação que processe markdown não confiável com versões do marked anteriores à 4.0.10 sem limites de recursos ou isolamento em thread.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Marked is a markdown parser and compiler. Prior to version 4.0.10, the regular expression `block.def` may cause catastrophic backtracking against some strings and lead to a regular expression denial of service (ReDoS). Anyone who runs untrusted markdown through a vulnerable version of marked and does not use a worker with a time limit may be affected. This issue is patched in version 4.0.10. As a workaround, avoid running untrusted markdown through marked or run marked on a worker thread and set a reasonable time limit to prevent draining resources.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Produtos afetados
markedjs · markedQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://github.com/markedjs/marked/commit/c4a3ccd344b6929afa8a1d50ac54a721e57012c0https://github.com/markedjs/marked/releases/tag/v4.0.10https://github.com/markedjs/marked/security/advisories/GHSA-rrrm-qjm4-v8hfhttps://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/AIXDMC3CSHYW3YWVSQOXAWLUYQHAO5UX/