Katalog CVE

CVE-2026-44896

ŚrednieCVSS 6.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Mistune to parser Markdown w Pythonie, który w wersjach 3.2.0 i wcześniejszych ma lukę w funkcji render_figure() w pliku src/mistune/directives/image.py. Funkcja ta łączy opcje figclass i figwidth bez odpowiedniego zabezpieczenia, co prowadzi do możliwości wstrzyknięcia atrybutów i ataków XSS.

Ocena ryzyka

Luka ta może prowadzić do poważnych zagrożeń bezpieczeństwa, umożliwiając atakującym wstrzykiwanie złośliwego kodu do aplikacji, co może skutkować kradzieżą danych lub przejęciem kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji 3.2.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Mistune is a Python Markdown parser with renderers and plugins. In 3.2.0 and earlier, in src/mistune/directives/image.py, the render_figure() function concatenates figclass and figwidth options directly into HTML attributes without escaping. This allows attribute injection and XSS even when HTMLRenderer(escape=True) is used, because these values bypass the inline renderer. Version 3.2.1 contains a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS