CVE-2025-46734 in commonmarkinformação

Sumário

de VulDB • 20/05/2026

O league/commonmark é um analisador (parser) de Markdown para PHP. Uma vulnerabilidade de cross-site scripting (XSS) na extensão Attributes da biblioteca league/commonmark (versões de 1.5.0 a 2.6.x) permite que atacantes remotos insiram chamadas de JavaScript maliciosas no HTML. A biblioteca league/commonmark oferece opções de configuração, como `html_input: 'strip'` e `allow_unsafe_links: false`, para mitigar ataques de cross-site scripting (XSS) removendo HTML bruto e bloqueando links inseguros. No entanto, quando a extensão Attributes está habilitada, ela introduz uma maneira para que os usuários injetem atributos HTML arbitrários nos elementos por meio da sintaxe Markdown usando chaves. A versão 2.7.0 contém três alterações para prevenir este vetor de ataque XSS: todos os atributos que começam com `on` são considerados inseguros e bloqueados por padrão; suporte a uma lista de permissão explícita de atributos HTML permitidos; e os atributos `href` e `src` adicionados manualmente agora respeitam a opção de configuração existente `allow_unsafe_links`. Se a atualização não for viável, considere desabilitar a `AttributesExtension` para usuários não confiáveis e/ou filtrar o HTML renderizado por meio de uma biblioteca como o HTMLPurifier.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

28/04/2025

Divulgação

05/05/2025

Moderação

aceite

Entrada

VDB-307528

CPE

pronto

EPSS

0.00287

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!