Vulnerabilidad en @marp-team/marp-core (CVE-2024-56510)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
26/12/2024
Última modificación:
26/12/2024
Descripción
@marp-team/marp-core es el núcleo de Marp, que es el ecosistema para escribir presentaciones con Markdown simple. Marp Core desde v3.0.2 a v3.9.0 y v4.0.0, es vulnerable a cross-site scripting (XSS) debido a la neutralización incorrecta de la desinfección de HTML. Marp Core v3.9.1 y v4.0.1 han recibido parches para solucionar este problema. Si no puede actualizar el paquete inmediatamente, deshabilite todas las etiquetas HTML configurando la opción html: false en el constructor de la clase Marp.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://github.com/marp-team/marp-core/commit/61a1def244d1b6faa8e2c0be97ec0b68cab3ab49
- https://github.com/marp-team/marp-core/pull/282
- https://github.com/marp-team/marp-core/releases/tag/v3.9.1
- https://github.com/marp-team/marp-core/releases/tag/v4.0.1
- https://github.com/marp-team/marp-core/security/advisories/GHSA-x52f-h5g4-8qv5