CVE-2026-48801 in linkify-itthông tin

Tóm tắt

Bởi VulDB • 15/07/2026

linkify-it là một thư viện nhận diện liên kết với hỗ trợ đầy đủ Unicode. Trước phiên bản 5.0.1, phương thức `LinkifyIt.prototype.match`, API công khai chính của gói này, có độ phức tạp thuật toán O(N²) đối với các đầu vào chứa nhiều liên kết hoặc địa chỉ email không khớp chính xác (fuzzy links/emails), do vòng lặp quét ở mức JavaScript thực hiện cắt lại chuỗi đầu vào và chạy lại các tìm kiếm biểu thức chính quy chưa neo (unanchored regex searches) trên các phần đuôi ngày càng ngắn hơn. Bất kỳ dịch vụ nào đồng bộ hiển thị Markdown từ nguồn không đáng tin cậy với tùy chọn `linkify:true` trên đường nóng xử lý yêu cầu có thể dẫn đến tình trạng từ chối dịch vụ (DoS) làm tê liệt tiến trình worker, dễ bị kích hoạt bởi thân yêu cầu chỉ khoảng vài chục KB. Vấn đề này đã được khắc phục trong phiên bản 5.0.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

chịu trách nhiệm

GitHub M

Đặt trước

22/05/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00445

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!