高危Markdown转PDF漏洞可通过Markdown前置元数据实现JS注入攻击(CVE-2025-65108,CVSS 10.0)
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
2025年11月24日,npm包md-to-pdf被曝出高危漏洞(CVE-2025-65108),攻击者可通过恶意元数据执行任意JavaScript代码。使用该包处理不可信Markdown的应用存在风险,用户应立即升级至安全版本。
🎯
关键要点
- 2025年11月24日,npm包md-to-pdf曝出高危漏洞(CVE-2025-65108)。
- 该漏洞获得CVSS满分10分评级,攻击者可通过恶意前置元数据执行任意JavaScript代码。
- 使用该包处理不可信Markdown的应用程序、构建系统或云服务均面临严重风险。
- 漏洞源于md-to-pdf包使用gray-matter库解析Markdown中的YAML/JSON前置元数据块时存在缺陷。
- gray-matter库的可选JavaScript评估模式在特定分隔符下会自动激活。
- 攻击者可将恶意JavaScript嵌入Markdown文件的前置元数据,导致系统入侵。
- 公告中提供了一个PoC示例,演示如何通过操纵前置元数据执行任意操作系统命令。
- 所有5.2.5以下版本均受影响,用户应立即升级至安全版本。
❓
延伸问答
CVE-2025-65108漏洞的主要风险是什么?
该漏洞允许攻击者通过恶意前置元数据执行任意JavaScript代码,导致系统入侵。
哪些版本的md-to-pdf包受到CVE-2025-65108漏洞的影响?
所有5.2.5以下版本均受影响。
如何修复CVE-2025-65108漏洞?
用户应立即升级至安全版本的md-to-pdf包。
CVE-2025-65108漏洞是如何被利用的?
攻击者可以将恶意JavaScript嵌入Markdown文件的前置元数据,导致在转换过程中执行该代码。
gray-matter库在CVE-2025-65108漏洞中扮演什么角色?
gray-matter库在解析Markdown中的前置元数据时存在缺陷,导致可选的JavaScript评估模式被意外激活。
CVE-2025-65108漏洞的CVSS评分是多少?
该漏洞获得CVSS满分10分评级。
➡️
