PT-2022-24809 · Cmark-Gfm+3 · Cmark-Gfm+3
Anticomputer
·
Publicado
2022-09-15
·
Atualizado
2025-03-03
·
CVE-2022-39209
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do cmark-gfm anteriores à 0.29.0.gfm.6
Descrição
Um problema de complexidade de tempo polinomial na extensão autolink do cmark-gfm pode levar ao esgotamento ilimitado de recursos e à consequente negação de serviço. Os usuários podem verificar o patch executando
python3 -c ‘print(“![l”* 100000 + “ ”)’ | ./cmark-gfm -e autolink, o que esgotará os recursos no cmark-gfm sem patch, mas renderizará corretamente no cmark-gfm com patch.Recomendações
Para resolver o problema, recomenda-se que os usuários atualizem para a versão 0.29.0.gfm.6 ou posterior.
Os usuários que não puderem atualizar devem desativar o uso da extensão autolink como uma solução alternativa temporária.
Exploit
Correção
DoS
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Debian
Linuxmint
Ubuntu
Cmark-Gfm