漏洞信息详情

Thomas Leitner kramdown 安全漏洞

• CNNVD编号：CNNVD-202103-1215
• 危害等级： 超危
  
• CVE编号： CVE-2021-28834
• 漏洞类型： 其他
• 发布时间： 2021-03-19
• 威胁类型： 远程
• 更新时间： 2021-04-14
• 厂        商：
• 漏洞来源：

漏洞简介

Thomas Leitner kramdown是 （Thomas Leitner）开源的一个应用程序。提供一个快速的纯Ruby Markdown超集转换器，使用严格的语法定义并支持几个常用扩展。

Kramdown before 2.3.1 存在安全漏洞，该漏洞源于Kramdown没有将Rouge格式化器限制为Rouge：： formatters名称空间。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接:

https://github.com/gettalong/kramdown/compare/REL_2_3_0...REL_2_3_1

参考网址

来源:FEDORA

链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/NJCJVYHPY6LNUFM6LYZIAUIYOMVT5QGV/

来源:MISC

链接:https://github.com/gettalong/kramdown/compare/REL_2_3_0...REL_2_3_1

来源:FEDORA

链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/SYOLQKFL6IJCQLBXV34Z4TI4O54GESPR/

来源:FEDORA

链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/S3BBLUIDCUUR3NEE4NJLOCCAV3ALQ3O6/

来源:MISC

链接:https://github.com/gettalong/kramdown/pull/708

来源:DEBIAN

链接:https://www.debian.org/security/2021/dsa-4890

来源:MISC

链接:https://gitlab.com/gitlab-org/gitlab/-/commit/179329b5c3c118924fb242dc449d06b4ed6ccb66

来源:vigilance.fr

链接:https://vigilance.fr/vulnerability/Kramdown-privilege-escalation-via-Rouge-Formatters-Instantiation-34971

来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2021-28834

来源:www.auscert.org.au

链接:https://www.auscert.org.au/bulletins/ESB-2021.1215

受影响实体

暂无

补丁

• Thomas Leitner kramdown 安全漏洞的修复措施