Plataforma
nodejs
Componente
marked
Corrigido em
0.3.4
A vulnerabilidade CVE-2015-8854 é uma falha de Denial of Service (DoS) presente nas versões 0.3.3 e anteriores da biblioteca marked para Node.js. Essa vulnerabilidade ocorre quando a biblioteca processa entradas que acionam a regra inline 'em', levando a um consumo excessivo de recursos e potencial indisponibilidade do serviço. A atualização para a versão 0.3.4 ou superior resolve essa questão.
Um atacante pode explorar essa vulnerabilidade enviando entradas maliciosas para a aplicação que utiliza a biblioteca marked. Essas entradas, especificamente aquelas que acionam a regra inline 'em', podem causar um ataque de Regular Expression Denial of Service (ReDoS). Um ReDoS ocorre quando uma expressão regular mal construída leva a um consumo exponencial de recursos da CPU, tornando a aplicação lenta ou completamente não responsiva. O impacto pode variar dependendo da carga da aplicação e da complexidade da entrada maliciosa, podendo resultar em interrupção do serviço e negação de acesso a usuários legítimos. A vulnerabilidade é particularmente perigosa em aplicações que processam dados fornecidos pelo usuário sem validação adequada.
A vulnerabilidade CVE-2015-8854 foi divulgada em 2017. Não há evidências de exploração ativa em campanhas direcionadas. A vulnerabilidade está listada no NVD (National Vulnerability Database) e é considerada de severidade alta devido ao seu potencial de causar negação de serviço. Não está presente no KEV (CISA Known Exploited Vulnerabilities) catalog.
Applications built with Node.js that utilize the Marked.js library for Markdown rendering are at risk. This includes web applications, documentation generators, and any other tools that process Markdown content. Specifically, projects relying on older versions of Marked.js, or those that haven't performed recent dependency updates, are particularly vulnerable.
• nodejs / server:
npm list marked• nodejs / server:
npm audit marked• nodejs / server:
Check package.json for dependencies on marked versions prior to 0.3.4.
• nodejs / server:
Review application logs for unusually high CPU usage or crashes when processing Markdown content.
discovery
disclosure
patch
Status do Exploit
EPSS
0.89% (percentil 75%)
Vetor CVSS
A mitigação primária para a vulnerabilidade CVE-2015-8854 é a atualização da biblioteca marked para a versão 0.3.4 ou superior. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar um filtro de entrada para remover ou escapar caracteres que possam acionar a regra 'em' na expressão regular. Além disso, a implementação de limites de tempo para a execução de expressões regulares pode ajudar a prevenir o consumo excessivo de recursos. Após a atualização, confirme a correção verificando se a aplicação processa entradas maliciosas sem causar lentidão ou travamentos.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2015-8854 is a Denial of Service vulnerability in the Marked.js library, affecting versions 0.3.3 and earlier. Malicious Markdown input can trigger a ReDoS condition, leading to application crashes or performance degradation.
You are affected if your Node.js application uses Marked.js version 0.3.3 or earlier. Check your package.json file to determine your Marked.js version.
Upgrade Marked.js to version 0.3.4 or later. If upgrading is not possible immediately, implement input validation to sanitize Markdown content before processing.
There is no evidence of active exploitation campaigns targeting CVE-2015-8854, but the ReDoS nature of the vulnerability makes exploitation possible.
While a dedicated advisory may not exist, information about the vulnerability can be found in the Marked.js GitHub repository and related security discussions.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.