簡(jiǎn)介 

    全球網(wǎng)安事件速遞：高危Markdown轉(zhuǎn)PDF漏洞可通過(guò)Markdown前置元數(shù)據(jù)實(shí)現(xiàn)JS注入攻擊（CVE-2025-65108，CVSS 10.0）。該漏洞影響md-to-pdf工具，惡意Markdown前置元數(shù)據(jù)可執(zhí)行任意JS代碼，導(dǎo)致系統(tǒng)入侵，5.2.5以下版本均受影響。此漏洞暴露了文檔轉(zhuǎn)換工具在解析用戶輸入時(shí)的安全風(fēng)險(xiǎn)，需立即采取緩解措施。

核心詳情 

    CVE-2025-65108是一個(gè)CVSS評(píng)分為10.0的嚴(yán)重漏洞，存在于md-to-pdf npm包中。攻擊者通過(guò)構(gòu)造惡意的Markdown前置元數(shù)據(jù)（如YAML front matter），在PDF生成過(guò)程中注入并執(zhí)行任意JavaScript代碼。技術(shù)原理涉及工具未對(duì)用戶輸入的元數(shù)據(jù)進(jìn)行充分沙箱隔離或過(guò)濾，使得惡意腳本在PDF渲染引擎中運(yùn)行，可能導(dǎo)致服務(wù)器權(quán)限被竊取、數(shù)據(jù)泄露或進(jìn)一步內(nèi)網(wǎng)滲透。該漏洞影響所有5.2.5之前的版本，已由安全研究人員公開(kāi)披露，并強(qiáng)調(diào)了開(kāi)發(fā)環(huán)境中依賴包管理的脆弱性。

適用范圍  

    適用于使用md-to-pdf工具的開(kāi)發(fā)團(tuán)隊(duì)、系統(tǒng)管理員，以及任何通過(guò)Markdown生成PDF文檔的業(yè)務(wù)場(chǎng)景，如報(bào)告自動(dòng)化、文檔管理系統(tǒng)和在線出版平臺(tái)。尤其影響Node.js環(huán)境中集成此包的應(yīng)用。

推薦措施 

    1、立即升級(jí)md-to-pdf到5.2.5或更高版本，并檢查項(xiàng)目依賴以消除漏洞；2、在CI/CD流程中集成軟件成分分析工具掃描第三方包，同時(shí)實(shí)施輸入驗(yàn)證和輸出編碼來(lái)防御注入攻擊，避免處理不可信Markdown文件。