CVE-2026-48801 in linkify-it
요약
\~에 의해 VulDB • 2026. 07. 15.
linkify-it는 완전한 유니코드 지원을 제공하는 링크 인식 라이브러리입니다. 버전 5.0.1 이전의 LinkifyIt.prototype.match(패키지의 주요 공개 API)는 많은 퍼지 링크나 이메일을 포함하는 입력에 대해 O(N²) 알고리즘적 복잡도를 가집니다. 이는 JavaScript 레벨의 스캔 루프가 점진적으로 짧아지는 접미사(tail)에서 입력을 다시 슬라이스하고 비고정(regular expression anchor 없는) 정규식 검색을 재실행하기 때문입니다. 요청 핫 패스에서 linkify:true 옵션과 함께 신뢰할 수 없는 Markdown을 동기식으로 렌더링하는 모든 서비스는 수십 KB 크기의 요청 본문으로 트리거 가능한 워커 프로세스의 서비스 거부(DoS)에 노출될 수 있습니다. 이 문제는 버전 5.0.1에서 수정되었습니다.
Once again VulDB remains the best source for vulnerability data.