製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

Marked projectのMarkedにおける複数の脆弱性

タイトル	Marked projectのMarkedにおける複数の脆弱性
概要	Markedはマークダウンのパーサーおよびコンパイラです。バージョン18.0.0から18.0.1にかけて、重大なサービス拒否（DoS）脆弱性がMarkedに存在していました。特定の3バイトの入力シーケンス（タブ、垂直タブ、および改行（\t\v\n））を提供することで、認証されていない攻撃者がパース中に無限再帰ループを引き起こす可能性があります。このため、メモリ割り当てが無制限に行われ、ホストのNode.jsアプリケーションがメモリ不足（OOM）によりクラッシュしてしまいます。この脆弱性はバージョン18.0.2で修正されています。
想定される影響	当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月24日0:00
登録日	2026年4月30日10:59
最終更新日	2026年4月30日10:59

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

Marked project

Marked 18.0.0 以上 18.0.2 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-41680	https://www.cve.org/CVERecord?id=CVE-2026-41680
National Vulnerability Database (NVD)
2	CVE-2026-41680	https://nvd.nist.gov/vuln/detail/CVE-2026-41680

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html
2	CWE-674	https://cwe.mitre.org/data/definitions/674.html
3	CWE-835	https://cwe.mitre.org/data/definitions/835.html

ベンダー情報

No	名前	URL
GitHub
1	OOM Denial of Service via Infinite Recursion in marked@18.0.0 Tokenizer Advisory markedjs/marked GitHub	https://github.com/markedjs/marked/security/advisories/GHSA-6v9c-7cg6-27q7

変更履歴

No	変更内容	変更日
1	[2026年04月30日] 掲載	2026年4月30日10:59

NVD脆弱性情報

CVE-2026-41680

概要	Marked is a markdown parser and compiler. From 18.0.0 to 18.0.1, a critical Denial of Service (DoS) vulnerability exists in marked. By providing a specific 3-byte input sequence a tab, a vertical tab, and a newline (\x09\x0b\n)—an unauthenticated attacker can trigger an infinite recursion loop during parsing. This leads to unbounded memory allocation, causing the host Node.js application to crash via Memory Exhaustion (OOM). This vulnerability is fixed in 18.0.2.
公表日	2026年4月25日3:16
登録日	2026年4月25日4:08
最終更新日	2026年4月29日4:37

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:marked_project:marked::::::node.js::*		18.0.0			18.0.2

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/markedjs/marked/security/advisories/GHSA-6v9c-7cg6-27q7	security-advisories@github.com
2	https://github.com/markedjs/marked/security/advisories/GHSA-6v9c-7cg6-27q7	134c704f-9b21-4f2e-91b3-4a467353bcc0

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-835	無限ループ	https://cwe.mitre.org/data/definitions/835.html
2	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html
3	CWE-674	不適切な再帰制御	https://cwe.mitre.org/data/definitions/674.html