簡介 

    2025年11月24日，廣受歡迎的npm包md-to-pdf（每周下載量超47,000次的命令行工具）曝出高危漏洞（CVE-2025-65108，CVSS評分10.0）。該漏洞允許攻擊者通過在Markdown文件的前置元數據中注入惡意JavaScript代碼，進而在PDF生成過程中執行任意系統命令，對使用該庫的應用程序和開發者構成嚴重威脅。

核心詳情 

    該漏洞的技術原理在于md-to-pdf在處理YAML前置元數據時，未對用戶輸入進行充分過濾和沙箱隔離，導致嵌入的JavaScript代碼在PDF渲染引擎（通常基于Chromium）中被直接執行。攻擊者可構造特制的Markdown文件，利用此漏洞在服務器或用戶本地環境中實現遠程代碼執行（RCE），完全控制受影響系統。漏洞信息來源于npm安全公告及第三方安全研究機構披露，其CVSS 10.0的評分反映了其在機密性、完整性和可用性方面的全面影響，且無需用戶交互即可觸發，危害性極高。

適用范圍  

    此漏洞直接影響所有使用md-to-pdf庫的Node.js應用程序開發者、運維人員以及集成此工具進行文檔自動化處理的在線服務平臺。具體涉及場景包括使用該工具批量生成報告、電子書、技術文檔的Web應用、CI/CD流水線以及本地開發環境。

推薦措施 

    1、立即升級md-to-pdf至已修復的安全版本（如v10.1.0及以上），并檢查項目中所有依賴項是否包含易受攻擊的版本；

    2、在無法立即升級的情況下，應對所有用戶上傳的Markdown內容進行嚴格的輸入驗證和過濾，避免執行動態腳本，同時考慮使用替代的PDF生成方案。