HIGHCVE-2015-8854CVSS 7.5

marked における正規表現によるサービス拒否 (Regular Expression Denial of Service)

プラットフォーム

nodejs

コンポーネント

marked

修正版

0.3.4

AI Confidence: highNVDEPSS 0.9%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2015-8854は、Node.jsのmarkedライブラリのバージョン0.3.3以前に存在する正規表現DoS（ReDoS）脆弱性です。この脆弱性は、emインラインルールに渡される悪意のある入力によってサービス拒否を引き起こす可能性があります。影響を受けるバージョンは0.3.3以前であり、バージョン0.3.4以降に修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者は特別に細工された入力をmarkedライブラリに送り込むことで、正規表現エンジンが過剰な計算リソースを消費し、サービス拒否状態を引き起こす可能性があります。攻撃者は、ウェブアプリケーションがmarkedライブラリを使用してMarkdownコンテンツを処理する場合、アプリケーション全体をダウンさせることが可能です。この脆弱性は、特に高負荷な環境や、ユーザーが生成したMarkdownコンテンツを処理するアプリケーションにおいて、重大な影響を与える可能性があります。

悪用の状況

この脆弱性は、公開されているPoC（Proof of Concept）が存在する可能性があります。CISA KEVカタログへの登録状況は不明です。NVD（National Vulnerability Database）は2017年10月24日に公開されています。この脆弱性は、ReDoS攻撃の一般的なパターンに従っており、類似の脆弱性と同様に悪用される可能性があります。

リスク対象者翻訳中…

Applications built with Node.js that utilize the Marked.js library for Markdown rendering are at risk. This includes web applications, documentation generators, and any other tools that process Markdown content. Specifically, projects relying on older versions of Marked.js, or those that haven't performed recent dependency updates, are particularly vulnerable.

検出手順翻訳中…

• nodejs / server:

  npm list marked

• nodejs / server:

  npm audit marked

• nodejs / server: Check package.json for dependencies on marked versions prior to 0.3.4. • nodejs / server: Review application logs for unusually high CPU usage or crashes when processing Markdown content.

攻撃タイムライン

2015-07-14Discovery
discovery
2017-10-24Disclosure
disclosure
2017-10-24Patch
patch

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

0.89% (75% パーセンタイル)

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントmarked

ベンダーosv

影響範囲修正版

—0.3.4

タイムライン

公開日2017-10-24
更新日2024-02-09
EPSS 更新日2026-04-02

公開後-818日でパッチ適用

緩和策と回避策

この脆弱性への最も効果的な対策は、markedライブラリをバージョン0.3.4以降にアップデートすることです。アップデートがすぐに利用できない場合、入力の検証とサニタイズを実施し、悪意のある正規表現パターンが含まれる可能性のある入力をブロックすることを検討してください。WAF（Web Application Firewall）を使用している場合は、ReDoS攻撃を検出およびブロックするようにルールを設定することも有効です。アップデート後、markedライブラリのバージョンを確認し、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

公式パッチはありません。回避策を確認するか、アップデートを監視してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2015-8854 — DoS in marked (Node.js)とは何ですか？

CVE-2015-8854は、Node.jsのmarkedライブラリのバージョン0.3.3以前に存在する正規表現DoS（ReDoS）脆弱性です。悪意のある入力によりサービス拒否が発生します。

CVE-2015-8854 in marked (Node.js)に影響を受けますか？

Node.jsアプリケーションでmarkedライブラリのバージョン0.3.3以前を使用している場合は、影響を受けます。バージョン0.3.4以降にアップデートしてください。

CVE-2015-8854 in marked (Node.js)を修正するにはどうすればよいですか？

markedライブラリをバージョン0.3.4以降にアップデートしてください。アップデートがすぐに利用できない場合は、入力の検証とサニタイズを実施してください。

CVE-2015-8854は積極的に悪用されていますか？

公開されているPoCが存在する可能性があり、ReDoS攻撃の一般的なパターンに従っているため、悪用される可能性があります。

CVE-2015-8854の公式markedアドバイザリはどこで入手できますか？

NVDデータベースで詳細を確認できます: https://nvd.nist.gov/vuln/detail/CVE-2015-8854