CVE-2025-46734 in commonmark
要約
〜によって VulDB • 2026年05月20日
league/commonmark は PHP の Markdown パーサーです。league/commonmark ライブラリ(バージョン 1.5.0 から 2.6.x)の Attributes 拡張機能におけるクロスサイトスクリプティング(XSS)脆弱性により、リモート攻撃者は HTML に悪意のある JavaScript コールを挿入できます。league/commonmark ライブラリには、生 HTML の除去や安全でないリンクの拒否によってクロスサイトスクリプティング(XSS)攻撃を緩和するための設定オプション、例えば `html_input: 'strip'` や `allow_unsafe_links: false` が用意されています。しかし、Attributes 拡張機能が有効になっている場合、中括弧を使用して Markdown 構文経由で要素に任意の HTML 属性を注入する方法が生じます。バージョン 2.7.0 には、この XSS 攻撃ベクトルを防ぐための 3 つの変更が含まれています:`on` で始まるすべての属性は安全でないと見なされデフォルトでブロックされます;許可された HTML 属性の明示的なホワイトリストのサポート;手動で追加された `href` および `src` 属性は既存の `allow_unsafe_links` 設定オプションを尊重します。アップグレードが現実的でない場合は、信頼できないユーザーに対して `AttributesExtension` を無効にする、および/または HTMLPurifier などのライブラリを介してレンダリングされた HTML をフィルタリングすることを検討してください。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.