Plateforme
nodejs
Composant
marked
Corrigé dans
0.3.4
La vulnérabilité CVE-2015-8854 affecte les versions 0.3.3 et antérieures de la bibliothèque marked pour Node.js. Elle se manifeste sous la forme d'une attaque par déni de service (DoS) via une expression régulière (ReDoS) lorsque des entrées spécifiques sont soumises à la règle en ligne em. Cette vulnérabilité peut entraîner un blocage du service et une indisponibilité de l'application.
Un attaquant peut exploiter cette vulnérabilité en fournissant des entrées spécialement conçues qui déclenchent une expression régulière excessivement longue à exécuter dans la bibliothèque marked. Cette consommation excessive de ressources CPU peut entraîner un blocage de l'application Node.js, rendant le service indisponible pour les utilisateurs légitimes. L'impact est particulièrement critique dans les environnements de production où la disponibilité est essentielle. Bien qu'il n'y ait pas de données publiques sur une exploitation active de cette vulnérabilité, la nature de ReDoS la rend potentiellement exploitable à distance sans authentification.
Cette vulnérabilité a été publiée en 2017, mais son exploitation active n'a pas été largement rapportée. Elle est classée comme une vulnérabilité ReDoS, ce qui signifie qu'elle peut être exploitée avec une faible quantité de ressources pour provoquer un impact important. Il n'y a pas d'indications d'une présence dans le catalogue KEV de CISA à ce jour. Des preuves de concept publiques sont disponibles, ce qui rend l'exploitation potentiellement accessible aux attaquants.
Applications built with Node.js that utilize the Marked.js library for Markdown rendering are at risk. This includes web applications, documentation generators, and any other tools that process Markdown content. Specifically, projects relying on older versions of Marked.js, or those that haven't performed recent dependency updates, are particularly vulnerable.
• nodejs / server:
npm list marked• nodejs / server:
npm audit marked• nodejs / server:
Check package.json for dependencies on marked versions prior to 0.3.4.
• nodejs / server:
Review application logs for unusually high CPU usage or crashes when processing Markdown content.
discovery
disclosure
patch
Statut de l'Exploit
EPSS
0.89% (percentile 75%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour la bibliothèque marked vers la version 0.3.4 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à valider et à nettoyer les entrées soumises à la règle em afin d'éviter les expressions régulières malveillantes. Il est également recommandé d'utiliser un pare-feu d'application web (WAF) pour filtrer les requêtes suspectes. Après la mise à jour, vérifiez que la vulnérabilité est corrigée en soumettant une entrée susceptible de déclencher la ReDoS et en confirmant qu'elle ne provoque plus de blocage du service.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2015-8854 is a Denial of Service vulnerability in the Marked.js library, affecting versions 0.3.3 and earlier. Malicious Markdown input can trigger a ReDoS condition, leading to application crashes or performance degradation.
You are affected if your Node.js application uses Marked.js version 0.3.3 or earlier. Check your package.json file to determine your Marked.js version.
Upgrade Marked.js to version 0.3.4 or later. If upgrading is not possible immediately, implement input validation to sanitize Markdown content before processing.
There is no evidence of active exploitation campaigns targeting CVE-2015-8854, but the ReDoS nature of the vulnerability makes exploitation possible.
While a dedicated advisory may not exist, information about the vulnerability can be found in the Marked.js GitHub repository and related security discussions.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.