Katalog CVE

CVE-2026-41150

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Mermaid to narzędzie JavaScript, które wykorzystuje tekst inspirowany Markdownem do tworzenia i modyfikowania diagramów oraz wykresów. W wersjach przed 10.9.6 i 11.15.0 występuje atak typu denial-of-service podczas renderowania wykresów Gantt'a, jeśli użyto atrybutu excludes do wykluczenia wszystkich dat.

Ocena ryzyka

Organizacja może być narażona na ataki typu denial-of-service, co może prowadzić do niedostępności usług związanych z renderowaniem diagramów. W przypadku wywołania funkcji ganttDb.getTasks() po użyciu mermaid.parse, ryzyko wzrasta.

Rekomendacja

Zaleca się aktualizację do wersji 10.9.6 lub 11.15.0, aby usunąć tę podatność. Należy również unikać używania atrybutu excludes w wykresach Gantt'a, które wykluczają wszystkie daty.

Oryginalny opis (angielski, źródło NVD)

Mermaid is a JavaScript tool that uses Markdown-inspired text to create and modify diagrams and charts. Prior to 10.9.6 and 11.15.0, there is a denial-of-service attack when rendering gantt charts, if they use the excludes attribute to exclude all dates. mermaid.parse is unaffected, unless you then call the ganttDb.getTasks() (which is called when rendering a diagram). This vulnerability is fixed in 10.9.6 and 11.15.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS