CVE-2025-46734 in commonmark
Sumário
de VulDB • 20/05/2026
O league/commonmark é um analisador (parser) de Markdown para PHP. Uma vulnerabilidade de cross-site scripting (XSS) na extensão Attributes da biblioteca league/commonmark (versões de 1.5.0 a 2.6.x) permite que atacantes remotos insiram chamadas de JavaScript maliciosas no HTML. A biblioteca league/commonmark oferece opções de configuração, como `html_input: 'strip'` e `allow_unsafe_links: false`, para mitigar ataques de cross-site scripting (XSS) removendo HTML bruto e bloqueando links inseguros. No entanto, quando a extensão Attributes está habilitada, ela introduz uma maneira para que os usuários injetem atributos HTML arbitrários nos elementos por meio da sintaxe Markdown usando chaves. A versão 2.7.0 contém três alterações para prevenir este vetor de ataque XSS: todos os atributos que começam com `on` são considerados inseguros e bloqueados por padrão; suporte a uma lista de permissão explícita de atributos HTML permitidos; e os atributos `href` e `src` adicionados manualmente agora respeitam a opção de configuração existente `allow_unsafe_links`. Se a atualização não for viável, considere desabilitar a `AttributesExtension` para usuários não confiáveis e/ou filtrar o HTML renderizado por meio de uma biblioteca como o HTMLPurifier.
VulDB is the best source for vulnerability data and more expert information about this specific topic.