製品・ソフトウェアに関する情報

Vulnerability Search

ベンダー検索

Product/Service Search

JVN Vulnerability Search Top

->

JVN脆弱性詳細

markdown-it projectのmarkdown-itにおけるリソースの枯渇に関する脆弱性

Title	markdown-it projectのmarkdown-itにおけるリソースの枯渇に関する脆弱性
Summary	markdown-itはMarkdownパーサーです。バージョン14.1.1以下では、typographer:trueが有効になっている場合にサービス拒否（DoS）脆弱性が存在します。これはsmartquotesルールにおける二次式（O(n^2)）の処理に起因しています。この問題は、replaceAt()によって文字列を繰り返し変更することから生じており、この関数は引用符ごとにO(n)のスライスと連結を行います。そのため、引用符が多いユーザー提供のMarkdownを解析する際に過剰なCPU消費が発生し、攻撃者がサービスの可用性を低下させたり妨害したりする可能性があります。typographerはデフォルトで無効ですが、多くの本番アプリケーションではスマートタイポグラフィのために有効にしているため、この問題は重要です。この問題はバージョン14.2.0で修正されました。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアの一部が停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 17, 2026, midnight
Registration Date	June 26, 2026, 11:56 a.m.
Last Update	June 26, 2026, 11:56 a.m.

CVSS3.0 : 警告
Score	5.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Affected System

markdown-it project

markdown-it 14.2.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-48988	https://www.cve.org/CVERecord?id=CVE-2026-48988
National Vulnerability Database (NVD)
2	CVE-2026-48988	https://nvd.nist.gov/vuln/detail/CVE-2026-48988

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	Name	URL
GitHub
1	Quadratic complexity DoS in smartquotes rule via replaceAt string operations Advisory markdown-it/markdown-it GitHub	https://github.com/markdown-it/markdown-it/security/advisories/GHSA-6v5v-wf23-fmfq

その他

No	Name	URL
関連文書
1	Fix smartquotes perfomance markdown-it/markdown-it@9ce2087 GitHub	https://github.com/markdown-it/markdown-it/commit/9ce2087562c45d1e5ddd9f76b990f4b3fbe040e5

Change Log

No	Changed Details	Date of change
1	[2026年06月26日] 掲載	June 26, 2026, 11:56 a.m.