CVE-2025-46734 in commonmarkالمعلومات

الملخص

بحسب VulDB • 31/05/2026

يُعد league/commonmark مكتبة لتحليل نصوص Markdown باستخدام لغة PHP. تسمح ثغرة تصفح عبر المواقع (XSS) الموجودة في ملحق السمات (Attributes extension) الخاص بمكتبة league/commonmark (الإصدارات من 1.5.0 حتى 2.6.x) لمهاجمين عن بُعد بإدراج استدعاءات برمجية خبيثة بلغة JavaScript داخل صفحات HTML. توفر مكتبة league/commonmark خيارات تكوين مثل `html_input: 'strip'` و `allow_unsafe_links: false` للتخفيف من هجمات التصفح عبر المواقع (XSS) من خلال إزالة علامات HTML الخام ومنع الروابط غير الآمنة. ومع ذلك، عند تفعيل ملحق السمات (Attributes Extension)، فإنه يتيح للمستخدمين حقن سمات HTML تعسفية داخل العناصر عبر صيغة Markdown باستخدام الأقواس المعقوفة. يحتوي الإصدار 2.7.0 على ثلاث تغييرات لمنع هذا المسار الهجومي الخاص بـ XSS: تُعتبر جميع السمات التي تبدأ بـ `on` غير آمنة ويتم حظرها افتراضياً؛ ودعم قائمة سماح صريحة للسمات المسموح بها في HTML؛ والسمات المضافة يدوياً مثل `href` و `src` تحترم الآن خيار التكوين الموجود `allow_unsafe_links`. إذا لم يكن الترقية ممكنة، يُرجى النظر في تعطيل `AttributesExtension` للمستخدمين غير الموثوق بهم و/أو تصفية HTML المُنتَج باستخدام مكتبة مثل HTMLPurifier.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

مسؤول

GitHub M

حجز

28/04/2025

إفشاء

05/05/2025

الاعتدال

تمت الموافقة

إدخال

VDB-307528

EPSS

0.00287

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!