高危Markdown转PDF漏洞可通过Markdown前置元数据实现JS注入攻击(CVE-2025-65108,CVSS 10.0)
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
2025年11月24日,npm包md-to-pdf被曝出高危漏洞(CVE-2025-65108),攻击者可通过恶意元数据执行任意JavaScript代码。使用该包处理不可信Markdown的应用存在风险,用户应立即升级至安全版本。
🎯
关键要点
- 2025年11月24日,npm包md-to-pdf曝出高危漏洞(CVE-2025-65108)。
- 该漏洞获得CVSS满分10分评级,攻击者可通过恶意前置元数据执行任意JavaScript代码。
- 使用该包处理不可信Markdown的应用程序、构建系统或云服务均面临严重风险。
- 漏洞源于md-to-pdf包使用gray-matter库解析Markdown中的YAML/JSON前置元数据块时存在缺陷。
- gray-matter库的可选JavaScript评估模式在特定分隔符下会自动激活。
- 攻击者可将恶意JavaScript嵌入Markdown文件的前置元数据,导致系统入侵。
- 公告中提供了一个PoC示例,演示如何通过操纵前置元数据执行任意操作系统命令。
- 所有5.2.5以下版本均受影响,用户应立即升级至安全版本。
➡️
