最新系统漏洞--python-markdown2拒绝服务漏洞

最新推荐文章于 2024-03-15 09:47:48 发布
最新推荐文章于 2024-03-15 09:47:48 发布
阅读量159 收藏
点赞数 2
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48555088/article/details/120914333
版权

最新系统漏洞2021年10月22日
受影响系统:
Python markdown2 python-markdown2 >= 1.0.1.18
描述:

CVE(CAN) ID: CVE-2021-26813
python-markdown2是一款基于Python的Markdown文本标记格式的实现。
python-markdown2 1.0.1.18及之后版本存在拒绝服务漏洞。攻击者可利用该漏洞通过Python Markdown2的正则表达式导致过载和拒绝服务。

<**>

建议:

厂商补丁:

Python markdown2

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://github.com/trentm/python-markdown2/pull/387

Hacker-Li
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2023-2317:Typora 远程代码执行漏洞复现
薛定谔嘚喵博客
09-06 485
Typora是一款编辑器。Typora 1.6.7之前版本存在安全漏洞,该漏洞源于通过在标签中加载 typora://app/typemark/updater/update.html ,可以在Typora主窗口中加载JavaScript代码。
pythonmarkdown2库的使用
zhangzhechun的专栏
03-31 911
在上面的示例中,我们定义了一个名为CodeBlockExtension的扩展,它使用正则表达式来查找代码块,并将代码块转换为HTML格式。在上面的示例中,我们使用了extras参数来启用header-ids扩展,这个扩展可以为标题自动生成一个唯一的ID。我们还使用了cuddled-lists扩展,它可以让列表更紧凑。markdown2库,它是一个用于将Markdown格式的文本转换为HTML格式的Python库,可以方便地将Markdown文本转换为网页或其他格式的文本。
Typora 远程代码执行漏洞(CVE-2023-2317)
qq_42751192的博客
08-29 1347
Typora 是一款由 Abner Lee 开发的轻量级 Markdown 编辑器,与其他 Markdown 编辑器不同的是,Typora 没有采用源代码和预览双栏显示的方式,而是采用所见即所得的编辑方式,实现了即时预览的功能,但也可切换至源代码编辑模式。
来自T00ls的帖子-XSS的奇技淫巧
weixin_33737134的博客
06-11 242
T00LS在前段时间开启了markdown支持,这个漏洞也正是markdown的问题导致。 Markdown是一种可以使用普通文本编辑器编写的标记语言,通过简单的标记语法,它可以使普通文本内容具有一定的格式。 Markdown本身是一种标记语言,在网页上的应用也很简单,比如当我在markdown中输入**加粗**,那么经过转换之后,这个短句将会变成<strong>加粗</st...
伸向Markdown的黑手,知名博客平台曝出LFI漏洞
AKAMAI_CHINA的博客
01-24 1050
在信息安全界,保护敏感信息是一个老生常谈的问题。作为研究人员,我们非常清楚信息是如何被滥用的。有鉴于LFI攻击如此庞大的规模,这方面需要引起开发者和安全专家的广泛注意。各种报错信息看似繁杂,但其中往往蕴含着很多有价值的内容,有心的攻击者完全可以借助这些内容发起不同类型的攻击。因此到底要在对外展示的错误信息中包含什么内容,开发者必须慎重考虑。本文介绍的,通过Markdown导入和解析功能进行的本地文件包含攻击,这种方式可能适用于更多应用程序,只不过暂时还未被发现,但这只是时间问题。
【安全漏洞】gomarkdown/markdown 项目的 XSS 漏洞产生与分析
HBohan的博客
08-24 554
前言 gomarkdown/markdown 是 Go 语言的一个流行模块,它旨在快速地将 Markdown 文档转化为 HTML 页面。而此次发现的漏洞,来源于作者在编写其语法树 Parser 的时候无意的一次 unescape。 漏洞复现 我们首先来看一段代码。 package main import ( "fmt" "github.com/gomarkdown/markdown" "html" ) func main() { var textToRender = "``
基于Python的Struts2-Scan安全漏洞扫描工具设计源码
最新发布
05-23
Struts2-Scan是一个基于Python开发的安全漏洞扫描工具,包含21个文件,其中包括15个WAR文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文件、1个Python源文件、1个文本文件和1个JSP文件。该项目为用户提供了一个...
基于Python的Struts2漏洞扫描工具设计源码
05-23
Struts2-Scan是一个基于Python开发的Struts2漏洞扫描工具,包含21个文件,其中包括15个WAR文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文件、1个Python源文件、1个文本文件和1个JSP文件。该项目旨在帮助用户...
基于Python的Struts2全漏洞扫描利用工具设计源码
05-23
Struts2-Scan是一个基于Python编写的全漏洞扫描利用工具,包含21个文件,其中包括15个WAR文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文件、1个Python文件、1个文本文件和1个JSP文件。该项目用于对Struts2...
基于Python的Struts2全漏洞扫描与利用工具设计源码
05-23
Struts2-Scan是一个基于Python开发的Struts2全漏洞扫描与利用工具,包含21个文件,其中包括15个WAR文件、1个Git忽略文件、1个LICENSE文件、1个Markdown文件、1个Python文件、1个文本文件和1个JSP文件。该项目为...
python-markdown2
09-27
集成在浏览器的markdown编辑器
markdown反射型xss漏洞复现
weixin_30315905的博客
03-19 807
markdown xss漏洞复现 转载至橘子师傅:https://blog.orange.tw/2019/03/a-wormable-xss-on-hackmd.html 漏洞成因 最初是看到HackMD在前端渲染Markdown时的XSS防御所引起我的兴趣,由于HackMD允许嵌入客制化的网页标签,为了防止XSS的问题势必得对HTML进行过滤,这里HackMD使用了一个XSS防御函示库- npm...
python-markdown2: 快速、简洁的 Markdown 解析器
gitblog_00066的博客
03-15 858
python-markdown2: 快速、简洁的 Markdown 解析器 项目简介 python-markdown2 是一个 Python 库,用于将 Markdown 格式的文本转换为 HTML。该项目由 Trent Mick 开发,并遵循 GPL v2 或更高版本许可证。 Markdown 是一种轻量级的标记语言,可以让您使用简单的符号编写易读且易于编写的纯文本文件。通过使用 python-...
Python脚本之Markdown2Html
m0_47935585的博客
06-26 405
Python脚本之Markdown2Html
python的concatetate_Python tensorflow.truncated_normal_initializer方法代碼示例
weixin_40004212的博客
12-09 455
本文整理匯總了Python中tensorflow.truncated_normal_initializer方法的典型用法代碼示例。如果您正苦於以下問題:Python tensorflow.truncated_normal_initializer方法的具體用法?Python tensorflow.truncated_normal_initializer怎麽用?Python tensorflow.tr...
markdown编辑器
weixin_43283204的博客
11-01 307
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
常用的漏洞库平台
天泽岁月
07-14 1727
常用的漏洞库平台
文件上传漏洞(绕过姿势)
苟有恒,必有三更眠,五更起。
12-28 3233
0X00 前言文件上传漏洞可以说是日常渗透测试用得最多的一个漏洞,因为用它获得服务器权限最快最直接。但是想真正把这个漏洞利用好却不那么容易,其中有很多技巧,也有很多需要掌握的知识。文件上传校验姿势 客户端javascript校验(一般只校验后缀名) 服务端校验 文件头content-type字段校验(image/gif) 文件内容头校验(GIF89a) 后缀名黑名单校验 后缀名白名单校验 WAF设
Python-D1:Markdown工具详解与应用
"这篇文档主要介绍了Markdown的基本使用方法,特别是针对Python编程的文档编写,包括标题、代码块、文本格式、图片插入、超链接以及表格的创建与编辑。" 在Python开发过程中,良好的文档和注释是至关重要的,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值