CVE-2026-33079 in mistuneinfo

Zusammenfassung

von VulDB • 15.05.2026

In den Versionen 3.0.0a1 bis 3.2.0 von Mistune besteht eine ReDoS-Schwachstelle (Regular Expression Denial of Service) in `LINK_TITLE_RE`, die es einem Angreifer, der Markdown zur Analyse bereitstellen kann, ermöglicht, einen Denial-of-Service zu verursachen. Der für die Analyse von Link-Titeln verwendete reguläre Ausdruck enthält überlappende Alternativen, die katastrophales Backtracking auslösen können. In beiden Zweigen, sowohl bei doppelten als auch bei einfachen Anführungszeichen, kann ein Backslash gefolgt von einem Satzzeichen entweder als eine escape-Sequenz für das Satzzeichen oder als zwei normale Zeichen übereinstimmen, was zu einem mehrdeutigen Muster innerhalb einer wiederholten Gruppe führt. Wenn ein Angreifer Markdown mit wiederholten `!`-Sequenzen ohne schließendes Anführungszeichen bereitstellt, erkundet die Regex-Engine eine exponentielle Anzahl von Backtracking-Pfaden. Dies ist über die normale Markdown-Analyse von Inline-Links und Block-Link-Referenzdefinitionen erreichbar. Daher kann eine kleine, speziell konstruierte Eingabe zu einer erheblichen CPU-Belastung führen und Anwendungen, die Mistune verwenden, unresponsive machen.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

17.03.2026

Veröffentlichung

06.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361711

CPE

bereit

EPSS

0.00020

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33079
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33079
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33079/

ZurückÜbersichtWeiter

Do you want to use VulDB in your project?

Use the official API to access entries easily!