CVE-2026-41150
MediumCVSS 5.3Summary
Mermaid to narzędzie JavaScript, które wykorzystuje tekst inspirowany Markdownem do tworzenia i modyfikowania diagramów oraz wykresów. W wersjach przed 10.9.6 i 11.15.0 występuje atak typu denial-of-service podczas renderowania wykresów Gantt'a, jeśli użyto atrybutu excludes do wykluczenia wszystkich dat.
Risk Assessment
Organizacja może być narażona na ataki typu denial-of-service, co może prowadzić do niedostępności usług związanych z renderowaniem diagramów. W przypadku wywołania funkcji ganttDb.getTasks() po użyciu mermaid.parse, ryzyko wzrasta.
Recommendation
Zaleca się aktualizację do wersji 10.9.6 lub 11.15.0, aby usunąć tę podatność. Należy również unikać używania atrybutu excludes w wykresach Gantt'a, które wykluczają wszystkie daty.
Original NVD description (English source)
Mermaid is a JavaScript tool that uses Markdown-inspired text to create and modify diagrams and charts. Prior to 10.9.6 and 11.15.0, there is a denial-of-service attack when rendering gantt charts, if they use the excludes attribute to exclude all dates. mermaid.parse is unaffected, unless you then call the ganttDb.getTasks() (which is called when rendering a diagram). This vulnerability is fixed in 10.9.6 and 11.15.0.

