ГлавнаяБаза уязвимостей БДУ → BDU:2025-00142
4.6средняя

BDU:2025-00142

Уязвимость инструмента для создания презентаций на основе Markdown Marp Core, связанная с недостаточной защитой структуры веб-страницы, позволяющая нарушителю проводить межсайтовые сценарные атаки
Опубликовано: 2025-01-19
Описание

Уязвимость инструмента для создания презентаций на основе Markdown Marp Core связана с недостаточной защитой структуры веб-страницы при обработке HTML-содержимого. Эксплуатация уязвимости может позволить нарушителю проводить межсайтовые сценарные атаки

Затрагиваемое ПО и версии
Marp Core (от 3.0.2 до 3.9.0 включительно)Marp Core (4.0.0)
Способ устранения

Использование рекомендаций:
https://github.com/marp-team/marp-core/commit/61a1def244d1b6faa8e2c0be97ec0b68cab3ab49
https://github.com/marp-team/marp-core/releases/tag/v3.9.1
https://github.com/marp-team/marp-core/releases/tag/v4.0.1

Компенсирующие меры:
При невозможности установки обновления программного обеспечения рекомендуется отключить HTML-тэги, используя конфигурацию html: false в конструкторе класса:
const marp = new Marp({ html: false })

Оценка CVSS
Балл4.6 — средняя опасность
Источники и патчи
https://github.com/marp-team/marp-core/commit/61a1def244d1b6faa8e2c0be97ec0b68cab3ab49https://github.com/marp-team/marp-core/pull/282https://github.com/marp-team/marp-core/releases/tag/v3.9.1https://github.com/marp-team/marp-core/releases/tag/v4.0.1https://github.com/marp-team/marp-core/security/advisories/GHSA-x52f-h5g4-8qv5
Проверьте безопасность своего сайта и почты → Полная проверка домена