高危Markdown转PDF漏洞可通过Markdown前置元数据实现JS注入攻击(CVE-2025-65108,CVSS 10.0)
内容提要
2025年11月24日,npm包md-to-pdf被曝出高危漏洞(CVE-2025-65108),攻击者可通过恶意元数据执行任意JavaScript代码。使用该包处理不可信Markdown的应用存在风险,用户应立即升级至安全版本。
关键要点
-
2025年11月24日,npm包md-to-pdf曝出高危漏洞(CVE-2025-65108)。
-
该漏洞获得CVSS满分10分评级,攻击者可通过恶意前置元数据执行任意JavaScript代码。
-
使用该包处理不可信Markdown的应用程序、构建系统或云服务均面临严重风险。
-
漏洞源于md-to-pdf包使用gray-matter库解析Markdown中的YAML/JSON前置元数据块时存在缺陷。
-
gray-matter库的可选JavaScript评估模式在特定分隔符下会自动激活。
-
攻击者可将恶意JavaScript嵌入Markdown文件的前置元数据,导致系统入侵。
-
公告中提供了一个PoC示例,演示如何通过操纵前置元数据执行任意操作系统命令。
-
所有5.2.5以下版本均受影响,用户应立即升级至安全版本。
延伸解读
漏洞影响范围
此次md-to-pdf的漏洞影响广泛,任何使用该包处理不可信Markdown的应用程序、构建系统或云服务均可能受到攻击。这意味着开发者在使用该工具时,必须对输入内容进行严格的验证和过滤,以防止恶意代码的执行。
安全升级的重要性
由于所有5.2.5以下版本均受影响,用户应立即升级至安全版本。未及时更新可能导致系统被攻击者利用,造成数据泄露或系统入侵。因此,保持软件的及时更新是确保安全的基本措施。
攻击示例分析
文章中提供的PoC示例展示了如何通过恶意前置元数据执行任意操作系统命令。这一示例强调了攻击者可以利用简单的Markdown文件上传操作进行复杂的系统攻击,提醒开发者在处理用户上传内容时需格外谨慎。
延伸问答
CVE-2025-65108漏洞的主要风险是什么?
该漏洞允许攻击者通过恶意前置元数据执行任意JavaScript代码,导致系统入侵。
哪些版本的md-to-pdf包受到CVE-2025-65108漏洞的影响?
所有5.2.5以下版本均受影响。
如何修复CVE-2025-65108漏洞?
用户应立即升级至安全版本的md-to-pdf包。
CVE-2025-65108漏洞是如何被利用的?
攻击者可以将恶意JavaScript嵌入Markdown文件的前置元数据,导致在转换过程中执行该代码。
gray-matter库在CVE-2025-65108漏洞中扮演什么角色?
gray-matter库在解析Markdown中的前置元数据时存在缺陷,导致可选的JavaScript评估模式被意外激活。
CVE-2025-65108漏洞的CVSS评分是多少?
该漏洞获得CVSS满分10分评级。
