CVE-2025-59717

Опубликовано: 19 сент. 2025

Источник: nvd

CVSS3: 5.4

CVSS3: 9.8

EPSS Низкий

Описание

In the @digitalocean/do-markdownit package through 1.16.1 (in npm), the callout and fence_environment plugins perform .includes substring matching if allowedClasses or allowedEnvironments is a string (instead of an array).

Ссылки

https://gist.github.com/thesmartshadow/dd19665f1f51a4e3c7a766e70c9eafd0
Exploit
Third Party Advisory
https://github.com/digitalocean/do-markdownit
Product
https://www.npmjs.com/package/@digitalocean/do-markdownit
Product
https://gist.github.com/thesmartshadow/dd19665f1f51a4e3c7a766e70c9eafd0
Exploit
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:digitalocean:do-markdownit:*:*:*:*:*:node.js:*:*

Версия до 1.16.1 (включая)

EPSS

Процентиль: 22%

0.00072

Низкий

5.4 Medium

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-843

NVD-CWE-Other

Связанные уязвимости

GHSA-2h8j-8r9p-849f

CVSS3: 5.4

github

5 месяцев назад

@digitalocean/do-markdownit has Type Confusion vulnerability

EPSS

Процентиль: 22%

0.00072

Низкий

5.4 Medium

CVSS3

9.8 Critical

CVSS3

Дефекты

CWE-843

NVD-CWE-Other