USN-8194-1: Sicherheitslücken in League/Commonmark

USN-8194-1: Sicherheitslücken in League/Commonmark

Veröffentlichungsdatum: 21. April 2026
Überblick: Mehrere Sicherheitslücken wurden in league/commonmark behoben

Pakete
php-league-commonmark - Hochgradig erweiterbarer PHP-Markdown-Parser, der die CommonMark- und GFM-Spezifikationen vollständig unterstützt

Details
Es wurde festgestellt, dass league/commonmark unsichere Attribute nicht richtig einschränkt
unsichere Attribute einschränkt, wenn die Attribute-Erweiterung aktiviert ist. Ein Angreifer
Angreifer könnte dieses Problem möglicherweise ausnutzen, um Cross-Site-Scripting durch
bösartigen Code in gerendertes HTML einschleusen. Dieses Problem betraf nur Ubuntu 22.04
LTS und Ubuntu 24.04 LTS. (CVE-2025-46734)

Es wurde entdeckt, dass league/commonmark in manchen Fällen bestimmte
unzulässigen HTML-Tags nicht richtig blockiert. Ein Angreifer könnte dieses Problem möglicherweise ausnutzen
Problem ausnutzen, um Cross-Site-Scripting zu betreiben, indem er bösartiges HTML einfügt, das
Filterung umgangen wird. (CVE-2026-30838)

Es wurde entdeckt, dass league/commonmark die Überprüfung der Domain
allowlist-Prüfungen in der Embed-Erweiterung nicht richtig durchsetzte. Ein Angreifer könnte möglicherweise
Angreifer dieses Problem nutzen, um Domain-Beschränkungen zu umgehen und nicht vertrauenswürdige
als erlaubt behandelt werden. Dieses Problem betraf nur Ubuntu 24.04 LTS.
(CVE-2026-33347)

Anweisungen zum Update
Im Allgemeinen wird ein Standard-System-Update alle notwendigen Änderungen vornehmen.

Das Problem kann behoben werden, indem Sie Ihr System auf die folgenden Paketversionen aktualisieren:

• 24.04 LTS noble php-league-commonmark - 2.4.2-2ubuntu0.1~esm1
• 22.04 LTS jammy php-league-commonmark - 1.6.7-1ubuntu0.1~esm1
• 20.04 LTS focal php-league-commonmark - 1.3.1-1ubuntu2+esm1