Katalog CVE

CVE-2025-65108

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w narzędziu md-to-pdf przed wersją 5.2.5 pozwala na wykonanie dowolnego kodu zdalnego poprzez blok front-matter w Markdown zawierający delimiter JavaScript. Wykorzystanie tej luki może prowadzić do nieautoryzowanego dostępu do systemu.

Ocena ryzyka

Organizacje korzystające z tej wersji narzędzia są narażone na ataki, które mogą prowadzić do wykonania złośliwego kodu na serwerze, co zagraża bezpieczeństwu danych i systemów.

Rekomendacja

Zaleca się aktualizację narzędzia md-to-pdf do wersji 5.2.5 lub nowszej, aby usunąć tę podatność i zabezpieczyć system przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

md-to-pdf is a CLI tool for converting Markdown files to PDF using Node.js and headless Chrome. Prior to version 5.2.5, a Markdown front-matter block that contains JavaScript delimiter causes the JS engine in gray-matter library to execute arbitrary code in the Markdown to PDF converter process of md-to-pdf library, resulting in remote code execution. This issue has been patched in version 5.2.5.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS