Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-07520

Опубликовано: 13 янв. 2022
Источник: fstec
CVSS3: 7.5
CVSS2: 7.8
EPSS Низкий

Описание

Уязвимость анализатора и компилятора уценки Marked связана с некорректной обработкой регулярного выражения inline.reflinkSearch. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, вызвать отказ в обслуживании

Вендор

Red Hat Inc.
IBM Corp.
Christopher Jeffrey

Наименование ПО

Red Hat OpenShift GitOps
Red Hat Ceph Storage
IBM Maximo Asset Management
Marked

Версия ПО

- (Red Hat OpenShift GitOps)
5 (Red Hat Ceph Storage)
6.1 (Red Hat Ceph Storage)
7.6.1.2 (IBM Maximo Asset Management)
7.6.1.3 (IBM Maximo Asset Management)
до 4.0.10 (Marked)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Marked:
https://github.com/markedjs/marked/commit/8f806573a3f6c6b7a39b8cdb66ab5ebb8d55a5f5
https://github.com/markedjs/marked/releases/tag/v4.0.10
https://github.com/markedjs/marked/commit/8f806573a3f6c6b7a39b8cdb66ab5ebb8d55a5f5
Для продуктов IBM Corp.:
https://www.ibm.com/support/pages/security-bulletin-there-are-multiple-vulnerabilities-nodejs-used-ibm-maximo-asset-management-cve-2022-21681-cve-2022-21680
Для продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2022-21681

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 71%
0.00695
Низкий

7.5 High

CVSS3

7.8 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-21681

CVSS3: 7.5
ubuntu
около 4 лет назад

Marked is a markdown parser and compiler. Prior to version 4.0.10, the regular expression `inline.reflinkSearch` may cause catastrophic backtracking against some strings and lead to a denial of service (DoS). Anyone who runs untrusted markdown through a vulnerable version of marked and does not use a worker with a time limit may be affected. This issue is patched in version 4.0.10. As a workaround, avoid running untrusted markdown through marked or run marked on a worker thread and set a reasonable time limit to prevent draining resources.

redhat логотип

CVE-2022-21681

CVSS3: 7.5
redhat
около 4 лет назад

Marked is a markdown parser and compiler. Prior to version 4.0.10, the regular expression `inline.reflinkSearch` may cause catastrophic backtracking against some strings and lead to a denial of service (DoS). Anyone who runs untrusted markdown through a vulnerable version of marked and does not use a worker with a time limit may be affected. This issue is patched in version 4.0.10. As a workaround, avoid running untrusted markdown through marked or run marked on a worker thread and set a reasonable time limit to prevent draining resources.

nvd логотип

CVE-2022-21681

CVSS3: 7.5
nvd
около 4 лет назад

Marked is a markdown parser and compiler. Prior to version 4.0.10, the regular expression `inline.reflinkSearch` may cause catastrophic backtracking against some strings and lead to a denial of service (DoS). Anyone who runs untrusted markdown through a vulnerable version of marked and does not use a worker with a time limit may be affected. This issue is patched in version 4.0.10. As a workaround, avoid running untrusted markdown through marked or run marked on a worker thread and set a reasonable time limit to prevent draining resources.

debian логотип

CVE-2022-21681

CVSS3: 7.5
debian
около 4 лет назад

Marked is a markdown parser and compiler. Prior to version 4.0.10, the ...

github логотип

GHSA-5v2h-r2cx-5xgj

CVSS3: 7.5
github
около 4 лет назад

Inefficient Regular Expression Complexity in marked

EPSS

Процентиль: 71%
0.00695
Низкий

7.5 High

CVSS3

7.8 High

CVSS2