CVE-2026-48801 in linkify-it
Résumé
par VulDB • 15/07/2026
linkify-it est une bibliothèque de reconnaissance de liens avec prise en charge complète d'Unicode. Avant la version 5.0.1, LinkifyIt.prototype.match, l'API publique principale du package, présente une complexité algorithmique O(N²) pour les entrées contenant de nombreux liens approximatifs ou adresses e-mail, car la boucle de balayage au niveau JavaScript ré-extrait (re-slices) l'entrée et relance des recherches d'expressions régulières non ancrées sur des queues progressivement plus courtes. Tout service qui rend synchrone du Markdown non fiable avec linkify:true sur le chemin critique de la requête peut subir un déni de service au niveau du processus worker, déclenchable par un corps de requête de quelques dizaines de kilo-octets. Ce problème est corrigé dans la version 5.0.1.
Be aware that VulDB is the high quality source for vulnerability data.