Katalog CVE

CVE-2026-11422

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Markdown Preview Enhanced w wersji 0.8.x z silnikiem crossnote 0.9.28 zawiera podatność na wstrzykiwanie kodu w potoku renderowania WaveDrom. Umożliwia to atakującym wykonanie dowolnego kodu JavaScript poprzez osadzenie złośliwej treści w bloku kodu wavedrom w stworzonym dokumencie Markdown.

Ocena ryzyka

Atakujący mogą wykorzystać tę podatność do wykonania nieautoryzowanych operacji na lokalnym systemie plików, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.

Rekomendacja

Zaleca się aktualizację rozszerzenia Markdown Preview Enhanced do najnowszej wersji, aby usunąć tę podatność oraz monitorowanie i ograniczenie dostępu do funkcji, które mogą być narażone na ataki.

Oryginalny opis (angielski, źródło NVD)

Markdown Preview Enhanced 0.8.x with crossnote engine 0.9.28 contains a code injection vulnerability in the WaveDrom rendering pipeline that allows attackers to execute arbitrary JavaScript by embedding malicious content in a wavedrom fenced code block within a crafted Markdown document. Attackers can exploit the unsanitized passing of wavedrom block content to window.eval() in the VS Code webview context to abuse the extension's message passing and invoke arbitrary file writes on the local filesystem.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS