Attacker controlled data in AST nodes is not validated in comrak 漏洞信息(CVE-2023-28631)

一、漏洞 CVE-2023-28631 基础信息

漏洞标题

在comrak中，AST节点中的攻击者控制的数据未进行验证

来源：AIGC 神龙大模型

漏洞描述信息

在comrak中，AST节点中的攻击者控制的数据未进行验证。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

N/A

来源：AIGC 神龙大模型

漏洞标题

Attacker controlled data in AST nodes is not validated in comrak

来源：美国国家漏洞数据库 NVD

漏洞描述信息

comrak is a CommonMark + GFM compatible Markdown parser and renderer written in rust. A Comrak AST can be constructed manually by a program instead of parsing a Markdown document with `parse_document`. This AST can then be converted to HTML via `html::format_document_with_plugins`. However, the HTML formatting code assumes that the AST is well-formed. For example, many AST notes contain `[u8]` fields which the formatting code assumes is valid UTF-8 data. Several bugs can be triggered if this is not the case. Version 0.17.0 contains adjustments to the AST, storing strings instead of unvalidated byte arrays. Users are advised to upgrade. Users unable to upgrade may manually validate UTF-8 correctness of all data when assigning to `&[u8]` and `Vec<u8>` fields in the AST. This issue is also tracked as `GHSL-2023-049`.

来源：美国国家漏洞数据库 NVD

CVSS信息

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

来源：美国国家漏洞数据库 NVD

漏洞类别

对异常条件的处理不恰当

来源：美国国家漏洞数据库 NVD

漏洞标题

comrak 安全漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Comrak是Asherah Connor个人开发者的一个 CommonMark+GFM 兼容 Markdown 解析器和渲染器。 comrak 0.17.0之前版本存在安全漏洞，该漏洞源于没有验证AST节点中攻击者控制的数据。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

其他

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2023-28631 的公开POC

#	POC 描述	源链接	神龙链接

一、 漏洞 CVE-2023-28631 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2023-28631 的公开POC

三、漏洞 CVE-2023-28631 的情报信息

一、漏洞 CVE-2023-28631 基础信息