Katalog CVE

CVE-2026-49492

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Markdown Preview Enhanced przed wersją 0.8.28 otwiera zewnętrzne pliki i linki z podglądu za pomocą powłoki, nie weryfikując nieufnych danych wejściowych z dokumentu markdown. W systemie Windows, odpowiednio przygotowany dokument markdown może wstrzykiwać polecenia systemowe, które są wykonywane podczas podglądu dokumentu.

Ocena ryzyka

Organizacja jest narażona na wykonanie nieautoryzowanych poleceń systemowych, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. W szczególności, atakujący może wykorzystać tę podatność do przejęcia kontroli nad systemem.

Rekomendacja

Zaleca się aktualizację do wersji 0.8.28 lub nowszej, aby zabezpieczyć się przed tą podatnością. Należy również przeprowadzić audyt dokumentów markdown w celu wykrycia potencjalnie złośliwych treści.

Oryginalny opis (angielski, źródło NVD)

Markdown Preview Enhanced before 0.8.28 opens external files and links from the preview through a shell and does not validate untrusted inputs taken from the markdown document - the diagram filename attribute, imported file paths, and the latex_engine code-chunk attribute. On Windows, a crafted markdown document can inject operating system commands that execute when the document is previewed. Fixed in 0.8.28 by passing these inputs as literal arguments instead of through a shell and validating them before use.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS