CVE-2025-65108
KrytyczneStreszczenie
Podatność w narzędziu md-to-pdf przed wersją 5.2.5 pozwala na wykonanie dowolnego kodu zdalnego poprzez blok front-matter w Markdown zawierający delimiter JavaScript. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.
Ocena ryzyka
Organizacje korzystające z tej wersji narzędzia są narażone na ataki, które mogą prowadzić do wykonania złośliwego kodu na serwerze, co zagraża bezpieczeństwu danych i systemów.
Rekomendacja
Zaleca się aktualizację narzędzia md-to-pdf do wersji 5.2.5 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
md-to-pdf is a CLI tool for converting Markdown files to PDF using Node.js and headless Chrome. Prior to version 5.2.5, a Markdown front-matter block that contains JavaScript delimiter causes the JS engine in gray-matter library to execute arbitrary code in the Markdown to PDF converter process of md-to-pdf library, resulting in remote code execution. This issue has been patched in version 5.2.5.

