Katalog CVE

CVE-2026-49851

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 27 - wyżej niż 27% wszystkich znanych CVE

Streszczenie

Mistune to parser Markdown w Pythonie. Przed wersją 3.3.0 jest podatny na atak DoS polegający na wyczerpaniu zasobów CPU z powodu kwadratowej złożoności obliczeniowej w funkcji parse_link_text. Wprowadzenie wielu kolejnych znaków [ w treści Markdown powoduje wielokrotne skanowanie wejścia, co prowadzi do nadmiernego obciążenia procesora nawet przy małym ładunku.

Ocena ryzyka

Atakujący może wysłać specjalnie spreparowany tekst Markdown, który spowoduje znaczne spowolnienie lub całkowite zatrzymanie działania serwera lub aplikacji wykorzystującej podatną wersję biblioteki Mistune, prowadząc do odmowy usługi (DoS).

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Mistune do wersji 3.3.0 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Mistune is a Python Markdown parser with renderers and plugins. Prior to 3.3.0, Mistune is vulnerable to a CPU exhaustion DoS due to superlinear (approximately O(n²)) behavior in parse_link_text. When parsing Markdown containing many consecutive [ characters, parse_link_text repeatedly scans the input using a regex search inside a loop. Each iteration re-scans a large portion of the remaining string, resulting in quadratic-time behavior. An attacker-controlled Markdown input can therefore trigger excessive CPU usage with a very small payload. This vulnerability is fixed in 3.3.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS