CVE-2020-26237 (CNNVD-202011-1841)

MEDIUM
中文标题:
Highlightjs 安全漏洞
英文标题:
Prototype Pollution in highlight.js
CVSS分数: 5.8
发布时间: 2020-11-24 23:00:21
漏洞类型: 其他
状态: PUBLISHED
数据质量分数: 0.30
数据版本: v3
漏洞描述
中文描述:

Highlightjs是Highlightjs团队的一个由JavaScript编写的语法高亮工具。该软件在浏览器和服务器上均可使用,不依赖于任何框架,并且具有自动语言检测功能。 Highlightjs 9.18.2版本和10.1.2之前版本存在安全漏洞,该漏洞源于如果允许用户通过解析Markdown代码块(或类似代码)将自定义HTML代码块插入您的页面/应用程序,并且不过滤用户可以为您提供的语言名称,则可能会受到攻击。

英文描述:

Highlight.js is a syntax highlighter written in JavaScript. Highlight.js versions before 9.18.2 and 10.1.2 are vulnerable to Prototype Pollution. A malicious HTML code block can be crafted that will result in prototype pollution of the base object's prototype during highlighting. If you allow users to insert custom HTML code blocks into your page/app via parsing Markdown code blocks (or similar) and do not filter the language names the user can provide you may be vulnerable. The pollution should just be harmless data but this can cause problems for applications not expecting these properties to exist and can result in strange behavior or application crashes, i.e. a potential DOS vector. If your website or application does not render user provided data it should be unaffected. Versions 9.18.2 and 10.1.2 and newer include fixes for this vulnerability. If you are using version 7 or 8 you are encouraged to upgrade to a newer release.

CWE类型:
CWE-471
标签:
(暂无数据)
受影响产品
厂商 产品 版本 版本范围 平台 CPE
highlightjs highlight.js < 9.18.2 - - cpe:2.3:a:highlightjs:highlight.js:<_9.18.2:*:*:*:*:*:*:*
highlightjs highlight.js >= 10.0.0, < 10.1.2 - - cpe:2.3:a:highlightjs:highlight.js:>=_10.0.0,_<_10.1.2:*:*:*:*:*:*:*
highlightjs highlight.js * - - cpe:2.3:a:highlightjs:highlight.js:*:*:*:*:*:node.js:*:*
debian debian_linux 9.0 - - cpe:2.3:o:debian:debian_linux:9.0:*:*:*:*:*:*:*
oracle mysql_enterprise_monitor * - - cpe:2.3:a:oracle:mysql_enterprise_monitor:*:*:*:*:*:*:*:*
解决方案
中文解决方案:
(暂无数据)
英文解决方案:
(暂无数据)
临时解决方案:
(暂无数据)
参考链接
无标题 x_refsource_CONFIRM
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
[debian-lts-announce] 20201230 [SECURITY] [DLA 2511-1] highlight.js security update mailing-list
cve.org
访问
无标题 x_refsource_MISC
cve.org
访问
CVSS评分详情
3.1 (cna)
MEDIUM
5.8
CVSS向量: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:C/C:N/I:H/A:N
机密性
NONE
完整性
HIGH
可用性
NONE
时间信息
发布时间:
2020-11-24 23:00:21
修改时间:
2024-08-04 15:56:03
创建时间:
2025-11-11 15:36:14
更新时间:
2025-11-11 15:56:30
利用信息
暂无可利用代码信息
数据源详情
数据源 记录ID 版本 提取时间
CVE cve_CVE-2020-26237 2025-11-11 15:20:31 2025-11-11 07:36:14
NVD nvd_CVE-2020-26237 2025-11-11 14:57:06 2025-11-11 07:44:39
CNNVD cnnvd_CNNVD-202011-1841 2025-11-11 15:10:32 2025-11-11 07:56:30
版本与语言
当前版本: v3
主要语言: EN
支持语言:
EN ZH
安全公告
暂无安全公告信息
变更历史
v3 CNNVD
2025-11-11 15:56:30
vulnerability_type: 未提取 → 其他; cnnvd_id: 未提取 → CNNVD-202011-1841; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']
查看详细变更
  • vulnerability_type: 未提取 -> 其他
  • cnnvd_id: 未提取 -> CNNVD-202011-1841
  • data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
v2 NVD
2025-11-11 15:44:39
affected_products_count: 2 → 5; data_sources: ['cve'] → ['cve', 'nvd']
查看详细变更
  • affected_products_count: 2 -> 5
  • data_sources: ['cve'] -> ['cve', 'nvd']