Katalog CVE

CVE-2026-48591

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece pragdave earmark pozwala na przechowywanie skryptów między atrybutami w stronach internetowych poprzez nieodpowiednie neutralizowanie wartości atrybutów HTML. Wartości atrybutów nie są odpowiednio kodowane, co umożliwia atak XSS.

Ocena ryzyka

Organizacje mogą być narażone na ataki typu cross-site scripting, co może prowadzić do kradzieży danych użytkowników lub przejęcia sesji. Wykorzystanie tej podatności może zagrażać bezpieczeństwu aplikacji webowych.

Rekomendacja

Zaleca się migrację do innej, utrzymywanej biblioteki Markdown, takiej jak MDEx, aby uniknąć ryzyka związanego z tą podatnością. Należy również przeprowadzić audyt aplikacji w celu identyfikacji potencjalnych miejsc narażonych na ataki XSS.

Oryginalny opis (angielski, źródło NVD)

Improper Neutralization of Script in Attributes in a Web Page vulnerability in pragdave earmark allows stored cross-site scripting via unescaped HTML attribute values. 'Elixir.Earmark.Transform':_make_att1/2 in lib/earmark/transform.ex splices attribute values verbatim between two literal " bytes: [" ", name, "=\"", value, "\""]. Text nodes are routed through the existing escape function which encodes " as &quot;, but attribute values never visit that path. A markdown link whose URL or title contains a bare " closes the attribute early and lets the trailing bytes be parsed by the browser as fresh HTML attributes. For example, [click](http://example.com/?a=x" onerror="alert(1)) renders as <a href="http://example.com/?a=x" onerror="alert(1)">click</a>, executing arbitrary JavaScript in the victim's browser. The earmark library is no longer maintained and has been retired on Hex. No patched version will be released. All releases from 1.4.1 onward are affected, and users should migrate to a maintained Markdown library such as MDEx. This issue affects earmark from 1.4.1 onward.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS