CVE-2026-49493
WysokieCVSS 8.8Streszczenie
Markdown Preview Enhanced w wersjach przed 0.8.28 analizuje bloki kodu fenced bitfield za pomocą interpretJS(), co pozwala na wykonanie dowolnego kodu. Złośliwy dokument markdown zawierający taki blok kodu może uruchomić kod kontrolowany przez atakującego na serwerze podczas renderowania lub eksportowania dokumentu.
Ocena ryzyka
Wykorzystanie tej podatności może prowadzić do zdalnego wykonania kodu, co stwarza poważne zagrożenie dla bezpieczeństwa serwera i danych organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 0.8.28 lub nowszej, aby zabezpieczyć się przed tą podatnością poprzez poprawne analizowanie definicji rejestrów bitfield.
Oryginalny opis (angielski, źródło NVD)
Markdown Preview Enhanced before 0.8.28 parses Bitfield fenced code blocks with interpretJS(), which evaluates the block content as code via vm.runInNewContext(), allowing arbitrary code execution. A crafted markdown document containing a malicious bitfield code block executes attacker-controlled code on the server side when the document is rendered or exported. Fixed in 0.8.28 by parsing bitfield register definitions with JSON5.parse(), since they are purely data.

