CVE-2026-33079 in mistuneinformação

Sumário

de VulDB • 27/05/2026

Nas versões 3.0.0a1 a 3.2.0 do Mistune, existe uma vulnerabilidade de ReDoS (Denial of Service por Expressão Regular) no `LINK_TITLE_RE` que permite a um atacante, capaz de fornecer Markdown para análise, causar uma negação de serviço. A expressão regular utilizada para analisar os títulos dos links contém alternativas sobrepostas que podem desencadear um backtracking catastrófico. Nos ramos entre aspas duplas e entre aspas simples, uma barra invertida seguida por um caractere de pontuação pode ser correspondida tanto como uma sequência de pontuação escapada quanto como dois caracteres ordinários, criando um padrão ambíguo dentro de um grupo repetido. Se um atacante fornecer Markdown contendo sequências repetidas de `!` sem aspas de fechamento, o mecanismo de expressão regular explora um número exponencial de caminhos de backtracking. Isso é acessível através da análise normal de Markdown de links inline e de definições de referência de links em bloco. Portanto, uma entrada pequena e elaborada pode causar um consumo significativo de CPU e tornar as aplicações que utilizam o Mistune inresponsivas.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

GitHub M

Reservar

17/03/2026

Divulgação

06/05/2026

Moderação

aceite

Entrada

VDB-361711

CPE

pronto

EPSS

0.00020

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33079
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33079
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33079/

VoltarVisão GeralPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!