Platform
nodejs
Component
marked
Opgelost in
0.3.4
CVE-2015-8854 beschrijft een Denial of Service (DoS) kwetsbaarheid in de marked bibliotheek, een Markdown parser voor Node.js. Deze kwetsbaarheid ontstaat door een Regular Expression Denial of Service (ReDoS) in de em inline regel. Het verwerken van speciaal ontworpen inputs kan leiden tot een langdurige reguliere expressie-evaluatie, waardoor de server overbelast raakt. De kwetsbaarheid treft versies 0.3.3 en eerder van marked. Een update naar versie 0.3.4 of hoger is vereist om de kwetsbaarheid te verhelpen.
Een succesvolle exploitatie van CVE-2015-8854 kan leiden tot een Denial of Service (DoS) aanval op systemen die de marked bibliotheek gebruiken. Een aanvaller kan een speciaal ontworpen Markdown-input sturen die een langdurige reguliere expressie-evaluatie triggert. Dit verbruikt aanzienlijke CPU-resources, waardoor de server onbereikbaar wordt voor legitieme gebruikers. De impact is vooral groot in omgevingen waar marked wordt gebruikt om Markdown-content dynamisch te verwerken, zoals in webapplicaties of content management systemen. Hoewel er geen directe data-exfiltratie plaatsvindt, kan de DoS-aanval de beschikbaarheid van de dienst aanzienlijk beïnvloeden.
Er zijn geen bekende actieve campagnes of publieke exploits gemeld voor CVE-2015-8854. De kwetsbaarheid is opgenomen in het CISA KEV catalogus, wat de aandacht voor deze kwetsbaarheid onderstreept. Er zijn publieke Proof-of-Concept (PoC) exploits beschikbaar, die aantonen hoe de ReDoS kwetsbaarheid kan worden uitgebuit. De kwetsbaarheid is relatief eenvoudig te exploiteren, wat het risico vergroot.
Applications built with Node.js that utilize the Marked.js library for Markdown rendering are at risk. This includes web applications, documentation generators, and any other tools that process Markdown content. Specifically, projects relying on older versions of Marked.js, or those that haven't performed recent dependency updates, are particularly vulnerable.
• nodejs / server:
npm list marked• nodejs / server:
npm audit marked• nodejs / server:
Check package.json for dependencies on marked versions prior to 0.3.4.
• nodejs / server:
Review application logs for unusually high CPU usage or crashes when processing Markdown content.
discovery
disclosure
patch
Exploit Status
EPSS
0.89% (75% percentiel)
CVSS-vector
De primaire mitigatie voor CVE-2015-8854 is het updaten van de marked bibliotheek naar versie 0.3.4 of hoger. Deze versie bevat de correctie voor de ReDoS kwetsbaarheid. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het valideren en saneren van Markdown-inputs voordat deze aan marked worden doorgegeven. Dit kan door het beperken van de complexiteit van de Markdown-content of door het gebruik van een reguliere expressie om bekende schadelijke patronen te blokkeren. Na de upgrade, bevestig de correctie door een bekende kwetsbare input te testen en te verifiëren dat deze geen DoS veroorzaakt.
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2015-8854 is a Denial of Service vulnerability in the Marked.js library, affecting versions 0.3.3 and earlier. Malicious Markdown input can trigger a ReDoS condition, leading to application crashes or performance degradation.
You are affected if your Node.js application uses Marked.js version 0.3.3 or earlier. Check your package.json file to determine your Marked.js version.
Upgrade Marked.js to version 0.3.4 or later. If upgrading is not possible immediately, implement input validation to sanitize Markdown content before processing.
There is no evidence of active exploitation campaigns targeting CVE-2015-8854, but the ReDoS nature of the vulnerability makes exploitation possible.
While a dedicated advisory may not exist, information about the vulnerability can be found in the Marked.js GitHub repository and related security discussions.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.