CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-49493

HighCVSS 8.8
Published: Updated: Translated: NVD NIST

Summary

Markdown Preview Enhanced w wersjach przed 0.8.28 analizuje bloki kodu fenced bitfield za pomocą interpretJS(), co pozwala na wykonanie dowolnego kodu. Złośliwy dokument markdown zawierający taki blok kodu może uruchomić kod kontrolowany przez atakującego na serwerze podczas renderowania lub eksportowania dokumentu.

Risk Assessment

Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa serwera i danych organizacji.

Recommendation

Zaleca się aktualizację do wersji 0.8.28 lub nowszej, aby zabezpieczyć się przed tą podatnością poprzez poprawne analizowanie definicji rejestrów bitfield.

Original NVD description (English source)

Markdown Preview Enhanced before 0.8.28 parses Bitfield fenced code blocks with interpretJS(), which evaluates the block content as code via vm.runInNewContext(), allowing arbitrary code execution. A crafted markdown document containing a malicious bitfield code block executes attacker-controlled code on the server side when the document is rendered or exported. Fixed in 0.8.28 by parsing bitfield register definitions with JSON5.parse(), since they are purely data.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS