CVE-2015-8854 是一个拒绝服务 (DoS) 漏洞,影响到 marked 库的版本 0.3.3 及更早版本。该漏洞源于正则表达式DoS (ReDoS) 攻击,当恶意构造的输入传递到 em 内联规则时,可能导致服务器资源耗尽,服务不可用。建议用户尽快升级到 0.3.4 或更高版本以修复此安全问题。
攻击者可以通过向 marked 库传递精心构造的输入,触发正则表达式引擎的过度消耗,导致服务器资源耗尽,最终导致拒绝服务。这种攻击不需要身份验证,攻击者可以远程利用该漏洞。由于 marked 库广泛应用于将 Markdown 转换为 HTML 的场景,例如网站内容管理系统、文档生成工具等,因此该漏洞的潜在影响范围非常广泛。如果攻击者能够成功利用该漏洞,可能会导致网站或应用程序的不可用,影响用户体验和业务运营。
该漏洞已公开披露,并且存在公开的 PoC 代码。虽然目前尚未观察到大规模的利用,但由于其易于利用,存在被恶意利用的风险。该漏洞被添加到 CISA KEV 目录中,表明其具有较高的安全风险。建议用户密切关注安全动态,并及时采取措施进行缓解。
Applications built with Node.js that utilize the Marked.js library for Markdown rendering are at risk. This includes web applications, documentation generators, and any other tools that process Markdown content. Specifically, projects relying on older versions of Marked.js, or those that haven't performed recent dependency updates, are particularly vulnerable.
• nodejs / server:
npm list marked• nodejs / server:
npm audit marked• nodejs / server:
Check package.json for dependencies on marked versions prior to 0.3.4.
• nodejs / server:
Review application logs for unusually high CPU usage or crashes when processing Markdown content.
discovery
disclosure
patch
漏洞利用状态
EPSS
0.89% (75% 百分位)
CVSS 向量
最有效的缓解措施是升级到 marked 库的 0.3.4 或更高版本,该版本已经修复了该漏洞。如果无法立即升级,可以考虑以下临时缓解措施:首先,对输入进行严格的验证和过滤,移除或转义可能触发 ReDoS 攻击的特殊字符。其次,限制正则表达式的执行时间,防止其过度消耗服务器资源。最后,可以考虑使用 Web 应用防火墙 (WAF) 或代理服务器来检测和阻止恶意请求。升级后,请确认新版本已正确安装并配置,并进行测试以确保服务正常运行。
暂无官方补丁。请查找临时解决方案或持续关注更新。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2015-8854 是一个拒绝服务 (DoS) 漏洞,影响到 marked 库的版本 0.3.3 及更早版本。攻击者可以通过恶意构造的输入触发正则表达式DoS,导致服务器资源耗尽。
如果您正在使用 marked 库的版本 0.3.3 或更早版本,则可能受到此漏洞的影响。请立即检查您的项目依赖关系。
升级到 marked 库的 0.3.4 或更高版本可以修复此漏洞。使用 npm install marked@latest 命令进行升级。
虽然目前尚未观察到大规模的利用,但由于其易于利用,存在被恶意利用的风险。
请访问 marked 项目的 GitHub 仓库,查找相关的安全公告和修复说明:https://github.com/markedjs/marked