League/commonmark — это парсер PHP Markdown. Начиная с версии 2.3.0 и до версии 2.8.2, DomainFilteringAdapter в расширении Embed уязвим для обхода белого списка из-за отсутствия утверждения границы имени хоста в регулярном выражении, соответствующем домену. Домен, контролируемый злоумышленником, например youtube.com.evil, проходит проверку списка разрешенных, если youtube.com является разрешенным доменом.
Эта проблема исправлена в версии 2.8.2.
Показать оригинальное описание (EN)
league/commonmark is a PHP Markdown parser. From version 2.3.0 to before version 2.8.2, the DomainFilteringAdapter in the Embed extension is vulnerable to an allowlist bypass due to a missing hostname boundary assertion in the domain-matching regex. An attacker-controlled domain like youtube.com.evil passes the allowlist check when youtube.com is an allowed domain. This issue has been patched in version 2.8.2.
Характеристики атаки
Последствия
Строка CVSS v4.0