NVD Vulnerability Detail

CVE-2017-2239

Summary	Marp versions v0.0.10 and earlier may allow an attacker to access local resources and files using JavaScript.
Publication Date	July 7, 2017, 10:29 p.m.
Registration Date	Jan. 26, 2021, 1:21 p.m.
Last Update	Nov. 21, 2024, 12:23 p.m.

CVSS3.1 : MEDIUM
スコア	5.3
Vector	CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L
攻撃元区分(AV)	ローカル
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	要
影響の想定範囲(S)	変更なし
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低

CVSS2.0 : MEDIUM
Score	6.8
Vector	AV:N/AC:M/Au:N/C:P/I:P/A:P
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	中
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	低
可用性への影響(A)	低
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	はい

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:marp:marp:0.0.10:::::::*

Related information, measures and tools

No	URL	refsource	タグ
1	http://jvn.jp/en/jp/JVN21174546/index.html		Third Party Advisory
2	http://jvn.jp/en/jp/JVN21174546/index.html		Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-200	情報漏えい	https://cwe.mitre.org/data/definitions/200.html

JVN Vulnerability Information

Marp の JavaScript 実行処理におけるアクセス制限不備の脆弱性

Title	Marp の JavaScript 実行処理におけるアクセス制限不備の脆弱性
Summary	Marp は、Markdown 記法を使用してプレゼンテーション用のスライド PDF を作成するためのアプリケーションです。Marp には、Markdown ファイルに含まれている JavaScript を実行する機能が実装されています。JavaScript の実行時にはローカルリソースへのアクセスが制限されておらず、PC 上のファイルを読み込んで処理することが可能です (CWE-284)。この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方が IPA に報告し、JPCERT/CC が開発者との調整を行いました。報告者: 京都大学山崎啓太郎氏
Possible impacts	細工されたファイルを読み込むことで、PC 上のファイルにアクセスされ、外部に情報が漏えいする可能性があります。
Solution	[アップデートする] 開発者が提供する情報をもとに、最新版へアップデートしてください。 Marp v0.0.11 において、Markdown ファイル内の JavaScript からローカルリソースへのアクセスが制限されるようになりました。また、開発者は、ユーザに対して以下を推奨しています。・Markdown ファイル内で script タグや iframe タグを使用しない・不審なメールに添付された Markdown ファイルを開いたり、不審なウェブサイトに掲載された Markdown ファイルを開かない
Publication Date	June 28, 2017, midnight
Registration Date	June 28, 2017, 2:01 p.m.
Last Update	Feb. 7, 2018, 11:50 a.m.

Affected System

Yuki Hattori

Marp v0.0.10 およびそれ以前

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2017-2239	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-2239
National Vulnerability Database (NVD)
2	CVE-2017-2239	https://nvd.nist.gov/vuln/detail/CVE-2017-2239

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-264	https://jvndb.jvn.jp/ja/cwe/CWE-264.html

ベンダー情報

No	Name	URL
GitHub
1	[Security issue] Remote script can read user local resource	https://github.com/yhatt/marp/issues/187

その他

No	Name	URL
JVN
1	JVN#21174546	https://jvn.jp/jp/JVN21174546/index.html

Change Log

No	Changed Details	Date of change
0	[2017年06月28日] 掲載 [2018年02月07日] 参考情報：National Vulnerability Database (NVD) (CVE-2017-2239) を追加	Feb. 17, 2018, 10:37 a.m.