Versões do Highlight.js anteriores à 10.4.1

Versão 9.18.5 do Highlight.js

O problema diz respeito a possíveis vulnerabilidades de ReDOS devido ao backtracking exponencial e polinomial de RegEx em determinadas gramáticas fornecidas com o analisador Highlight.js. Isso pode levar a ataques de Negação de Serviço, causando longos congelamentos ou falhas no lado do cliente e congelamentos infinitos no lado do servidor. A vulnerabilidade afeta usuários que utilizam o Highlight.js para destacar dados fornecidos pelo usuário, particularmente com determinadas gramáticas.

Para versões do Highlight.js anteriores à 10.4.1, atualize para a versão 10.4.1 para resolver as vulnerabilidades.

Para a versão 9.18.5, interrompa o uso das gramáticas afetadas ou tente selecionar corretamente as correções de gramática para a versão mais antiga.

Como solução alternativa temporária, considere interromper o uso das gramáticas afetadas ou usar apenas aquelas com problemas polinomiais em vez de exponenciais.