CVE-2026-33079

Nome do Software Vulnerável e Versões Afetadas Mistune versões 3.0.0a1 até 3.2.0

Descrição Existe uma vulnerabilidade de Negação de Serviço por Expressão Regular (ReDoS) na expressão regular LINK TITLE RE. Um invasor pode fornecer Markdown especialmente elaborado para processamento que desencadeia um retrocesso catastrófico (catastrophic backtracking), levando a uma complexidade de tempo exponencial O(2^N) e consumo significativo de CPU. Isso ocorre porque a expressão regular usada para analisar títulos de links contém alternativas sobrepostas tanto nos ramos de aspas duplas quanto nos de aspas simples; especificamente, uma barra invertida seguida de pontuação pode ser interpretada como uma sequência de escape ou como dois caracteres comuns. Essa ambiguidade é acessível através do processamento normal de Markdown de links inline via parse link() e parse link title(), bem como definições de referência de link de bloco via BlockParser.parse ref link() e parse link title(). Uma entrada pequena, como um documento com menos de 100 bytes contendo sequências repetidas de barra invertida e ponto de exclamação sem aspas de fechamento, pode tornar as aplicações inoperantes.

Recomendações Para as versões 3.0.0a1 até 3.2.0, exclua o caractere de barra invertida da classe de caracteres genérica na expressão regular LINK TITLE RE para eliminar a sobreposição de alternância.