प्लेटफ़ॉर्म
nodejs
घटक
marked
में ठीक किया गया
0.3.4
CVE-2015-8854 marked लाइब्रेरी में एक अस्वीकार सेवा (DoS) भेद्यता है। यह भेद्यता तब उत्पन्न होती है जब लाइब्रेरी को ऐसे इनपुट दिए जाते हैं जो em इनलाइन नियम तक पहुँचते हैं, जिसके परिणामस्वरूप ReDoS (Regular Expression Denial of Service) हो सकता है। प्रभावित संस्करण 0.3.3 और उससे पहले के हैं। इस समस्या को हल करने के लिए, संस्करण 0.3.4 या बाद में अपडेट करने की अनुशंसा की जाती है।
यह भेद्यता हमलावर को marked लाइब्रेरी का उपयोग करने वाले अनुप्रयोगों को सेवा से वंचित करने की अनुमति देती है। हमलावर विशेष रूप से तैयार किए गए इनपुट प्रदान करके, लाइब्रेरी के नियमित अभिव्यक्ति इंजन को अत्यधिक संसाधन-गहन स्थिति में डाल सकता है, जिससे एप्लिकेशन क्रैश हो सकता है या अनुपलब्ध हो सकता है। इस भेद्यता का प्रभाव उन अनुप्रयोगों पर पड़ सकता है जो उपयोगकर्ता-प्रदत्त सामग्री को संसाधित करने के लिए marked लाइब्रेरी का उपयोग करते हैं, जैसे कि ब्लॉग, फ़ोरम या दस्तावेज़ संपादक। ReDoS के कारण, हमलावर सिस्टम संसाधनों को समाप्त कर सकता है, जिससे अन्य उपयोगकर्ताओं के लिए सेवा बाधित हो सकती है।
CVE-2015-8854 को अभी तक व्यापक रूप से शोषण किए जाने की सूचना नहीं मिली है, लेकिन ReDoS भेद्यताएँ आम तौर पर शोषण योग्य होती हैं। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद हो सकते हैं, जो हमलावरों को इस भेद्यता का फायदा उठाने की अनुमति देते हैं। CISA या NVD द्वारा इस CVE के लिए कोई विशेष चेतावनी जारी नहीं की गई है। इस भेद्यता की संभावना कम से मध्यम है, क्योंकि इसके लिए हमलावर को विशेष रूप से तैयार इनपुट बनाने की आवश्यकता होती है।
Applications built with Node.js that utilize the Marked.js library for Markdown rendering are at risk. This includes web applications, documentation generators, and any other tools that process Markdown content. Specifically, projects relying on older versions of Marked.js, or those that haven't performed recent dependency updates, are particularly vulnerable.
• nodejs / server:
npm list marked• nodejs / server:
npm audit marked• nodejs / server:
Check package.json for dependencies on marked versions prior to 0.3.4.
• nodejs / server:
Review application logs for unusually high CPU usage or crashes when processing Markdown content.
discovery
disclosure
patch
एक्सप्लॉइट स्थिति
EPSS
0.89% (75% शतमक)
CVSS वेक्टर
CVE-2015-8854 को कम करने का प्राथमिक तरीका marked लाइब्रेरी को संस्करण 0.3.4 या बाद में अपडेट करना है। यदि तत्काल अपडेट संभव नहीं है, तो इनपुट सत्यापन तकनीकों को लागू करने पर विचार करें ताकि यह सुनिश्चित किया जा सके कि marked लाइब्रेरी को दिए गए इनपुट में दुर्भावनापूर्ण नियमित अभिव्यक्ति नहीं हैं। WAF (Web Application Firewall) का उपयोग करके ReDoS हमलों का पता लगाने और उन्हें ब्लॉक करने के लिए नियमों को कॉन्फ़िगर किया जा सकता है। इसके अतिरिक्त, नियमित अभिव्यक्ति इंजन के प्रदर्शन को अनुकूलित करने के लिए लाइब्रेरी के कॉन्फ़िगरेशन विकल्पों की समीक्षा करें। अपडेट करने के बाद, लाइब्रेरी के संस्करण की पुष्टि करें और यह सुनिश्चित करें कि भेद्यता ठीक हो गई है।
कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
marked लाइब्रेरी में क्या है?CVE-2015-8854 marked लाइब्रेरी में एक अस्वीकार सेवा (DoS) भेद्यता है जो ReDoS के कारण होती है जब विशेष इनपुट दिए जाते हैं।
marked लाइब्रेरी में?यदि आप marked लाइब्रेरी के संस्करण 0.3.3 या उससे पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
marked लाइब्रेरी में कैसे ठीक करूँ?CVE-2015-8854 को ठीक करने के लिए, marked लाइब्रेरी को संस्करण 0.3.4 या बाद में अपडेट करें।
CVE-2015-8854 को अभी तक व्यापक रूप से शोषण किए जाने की सूचना नहीं मिली है, लेकिन ReDoS भेद्यताएँ शोषण योग्य हो सकती हैं।
marked लाइब्रेरी के लिए CVE-2015-8854 के लिए आधिकारिक सलाहकार कहाँ पा सकता हूँ?आधिकारिक सलाहकार के लिए marked लाइब्रेरी के GitHub रिपॉजिटरी या संबंधित सुरक्षा बुलेटिन की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।