CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-41150

MediumCVSS 5.3
Published: Updated: Translated: NVD NIST

Summary

Mermaid to narzędzie JavaScript, które wykorzystuje tekst inspirowany Markdownem do tworzenia i modyfikowania diagramów oraz wykresów. W wersjach przed 10.9.6 i 11.15.0 występuje atak typu denial-of-service podczas renderowania wykresów Gantt'a, jeśli użyto atrybutu excludes do wykluczenia wszystkich dat.

Risk Assessment

Organizacja może być narażona na ataki typu denial-of-service, co może prowadzić do niedostępności usług związanych z renderowaniem diagramów. W przypadku wywołania funkcji ganttDb.getTasks() po użyciu mermaid.parse, ryzyko wzrasta.

Recommendation

Zaleca się aktualizację do wersji 10.9.6 lub 11.15.0, aby usunąć tę podatność. Należy również unikać używania atrybutu excludes w wykresach Gantt'a, które wykluczają wszystkie daty.

Original NVD description (English source)

Mermaid is a JavaScript tool that uses Markdown-inspired text to create and modify diagrams and charts. Prior to 10.9.6 and 11.15.0, there is a denial-of-service attack when rendering gantt charts, if they use the excludes attribute to exclude all dates. mermaid.parse is unaffected, unless you then call the ganttDb.getTasks() (which is called when rendering a diagram). This vulnerability is fixed in 10.9.6 and 11.15.0.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS