CVE-2025-46734 in commonmarkinformación

Resumen

por VulDB • 2026-05-20

league/commonmark es un analizador (parser) de Markdown para PHP. Una vulnerabilidad de cross-site scripting (XSS) en la extensión Attributes de la biblioteca league/commonmark (versiones 1.5.0 a 2.6.x) permite a atacantes remotos insertar llamadas a JavaScript maliciosas en HTML. La biblioteca league/commonmark proporciona opciones de configuración como `html_input: 'strip'` y `allow_unsafe_links: false` para mitigar los ataques de cross-site scripting (XSS) eliminando el HTML sin procesar y prohibiendo enlaces inseguros. Sin embargo, cuando la extensión Attributes está habilitada, introduce una vía para que los usuarios inyecten atributos HTML arbitrarios en los elementos mediante la sintaxis de Markdown utilizando llaves. La versión 2.7.0 contiene tres cambios para prevenir este vector de ataque XSS: todos los atributos que comienzan con `on` se consideran inseguros y se bloquean de forma predeterminada; se admite una lista blanca explícita de atributos HTML permitidos; y los atributos `href` y `src` añadidos manualmente ahora respetan la opción de configuración existente `allow_unsafe_links`. Si no es posible actualizar, considere deshabilitar la `AttributesExtension` para usuarios no confiables y/o filtrar el HTML renderizado a través de una biblioteca como HTMLPurifier.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Reservar

2025-04-28

Divulgación

2025-05-05

Moderación

aceptado

Artículo

VDB-307528

CPE

listo

EPSS

0.00287

KEV

no

Actividades

muy bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!