Marked projectのMarkedにおける複数の脆弱性
| Title |
Marked projectのMarkedにおける複数の脆弱性
|
| Summary |
Markedはマークダウンのパーサーおよびコンパイラです。バージョン18.0.0から18.0.1にかけて、重大なサービス拒否(DoS)脆弱性がMarkedに存在していました。特定の3バイトの入力シーケンス(タブ、垂直タブ、および改行(\t\v\n))を提供することで、認証されていない攻撃者がパース中に無限再帰ループを引き起こす可能性があります。このため、メモリ割り当てが無制限に行われ、ホストのNode.jsアプリケーションがメモリ不足(OOM)によりクラッシュしてしまいます。この脆弱性はバージョン18.0.2で修正されています。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
April 24, 2026, midnight |
| Registration Date |
April 30, 2026, 10:59 a.m. |
| Last Update |
April 30, 2026, 10:59 a.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Affected System
| Marked project |
|
Marked 18.0.0 以上 18.0.2 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年04月30日]
掲載 |
April 30, 2026, 10:59 a.m. |
NVD Vulnerability Information
CVE-2026-41680
| Summary |
Marked is a markdown parser and compiler. From 18.0.0 to 18.0.1, a critical Denial of Service (DoS) vulnerability exists in marked. By providing a specific 3-byte input sequence a tab, a vertical tab, and a newline (\x09\x0b\n)—an unauthenticated attacker can trigger an infinite recursion loop during parsing. This leads to unbounded memory allocation, causing the host Node.js application to crash via Memory Exhaustion (OOM). This vulnerability is fixed in 18.0.2.
|
| Publication Date |
April 25, 2026, 3:16 a.m. |
| Registration Date |
April 25, 2026, 4:08 a.m. |
| Last Update |
April 29, 2026, 4:37 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:marked_project:marked:*:*:*:*:*:node.js:*:* |
18.0.0 |
|
|
18.0.2 |
Related information, measures and tools
Common Vulnerabilities List