GHSA-gpvj-gp8c-c7p2 — high GitHub Advisory (CVE-2019-25103) in npm/simple-markdown

説明

A vulnerability has been found in simple-markdown 0.5.1 and classified as problematic. Affected by this vulnerability is an unknown functionality of the file simple-markdown.js. The manipulation leads to inefficient regular expression complexity. The attack can be launched remotely. Upgrading to version 0.5.2 is able to address this issue. The name of the patch is 89797fef9abb4cab2fb76a335968266a92588816. It is recommended to upgrade the affected component. The associated identifier of this vulnerability is VDB-220639.

基本情報

タイプ: reviewed
深刻度: high
GitHub 上のアドバイザリ: アドバイザリを開く ↗
リポジトリのアドバイザリ: —
ソースコード: ソースを見る ↗
公開（アドバイザリ）: 2023-02-12 15:30:24 UTC
更新: 2026-02-03 17:53:02 UTC
GitHub レビュー済み: 2023-02-14 01:02:08 UTC
NVD で公開: 2023-02-12

Score	Percentile
0.48%	64.64%

CVSS Scores

Base score	Version	Severity	Vector
7.5	3.1	—	`CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:N) 事前のログインや昇格は不要で、匿名アクセスのまま踏み台にしうる。ユーザーの関与 (UI:N) メールのリンクを開く、マクロを有効にするなど、被害者の協力がなくても成立しうる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:N) 機微情報の漏えいは想定しにくい。完全性への影響 (I:N) 改ざん・なりすましによる信頼毀損は軽微か、想定されない。可用性への影響 (A:H) 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。

Identifiers

Type	Value
GHSA	GHSA-gpvj-gp8c-c7p2 ↗
CVE	CVE-2019-25103 ↗

CWEs

CWE id	Name
CWE-1333	Inefficient Regular Expression Complexity

Affected packages (1)

Vulnerable version ranges and first patched releases as published by GitHub.

Ecosystem	Package	Vulnerable range	First patched	Vulnerable functions
npm	simple-markdown	< 0.5.2	0.5.2	—

Regular Expression Denial of Service in simple-markdown

説明

基本情報

EPSS Score

CVSS Scores

Identifiers

CWEs

Affected packages (1)

References