CVE-2025-46734 in commonmark
Resumen
por VulDB • 2026-05-20
league/commonmark es un analizador (parser) de Markdown para PHP. Una vulnerabilidad de cross-site scripting (XSS) en la extensión Attributes de la biblioteca league/commonmark (versiones 1.5.0 a 2.6.x) permite a atacantes remotos insertar llamadas a JavaScript maliciosas en HTML. La biblioteca league/commonmark proporciona opciones de configuración como `html_input: 'strip'` y `allow_unsafe_links: false` para mitigar los ataques de cross-site scripting (XSS) eliminando el HTML sin procesar y prohibiendo enlaces inseguros. Sin embargo, cuando la extensión Attributes está habilitada, introduce una vía para que los usuarios inyecten atributos HTML arbitrarios en los elementos mediante la sintaxis de Markdown utilizando llaves. La versión 2.7.0 contiene tres cambios para prevenir este vector de ataque XSS: todos los atributos que comienzan con `on` se consideran inseguros y se bloquean de forma predeterminada; se admite una lista blanca explícita de atributos HTML permitidos; y los atributos `href` y `src` añadidos manualmente ahora respetan la opción de configuración existente `allow_unsafe_links`. Si no es posible actualizar, considere deshabilitar la `AttributesExtension` para usuarios no confiables y/o filtrar el HTML renderizado a través de una biblioteca como HTMLPurifier.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.