Informazioni sul CVE-2016-10531
N/A
CWE ID: CWE-79
Base Score (CVSS): N/A
CVE: CVE-2016-10531
Descrizione: marked is an application that is meant to parse and compile markdown. Due to the way that marked 0.3.5 and earlier parses input, specifically HTML entities, it’s possible to bypass marked’s content injection protection (`sanitize: true`) to inject a `javascript:` URL. This flaw exists because `&#xNNanything;` gets parsed to what it could and leaves the rest behind, resulting in just `anything;` being left.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://nodesecurity.io/advisories/101
- https://github.com/chjj/marked/pull/592/commits/2cff85979be8e7a026a9aca35542c470cf5da523
- https://github.com/chjj/marked/pull/592
Prodotti interessati
- HackerOne – marked node module
Relazioni con altri prodotti
Produttore:HackerOne
Prodotto: marked node module
Anno: 2016
CWE: CWE-79
CVSS: 0.0