简介 

    2025年11月24日，广受欢迎的npm包md-to-pdf（每周下载量超47,000次的命令行工具）曝出高危漏洞（CVE-2025-65108，CVSS评分10.0）。该漏洞允许攻击者通过在Markdown文件的前置元数据中注入恶意JavaScript代码，进而在PDF生成过程中执行任意系统命令，对使用该库的应用程序和开发者构成严重威胁。

核心详情 

    该漏洞的技术原理在于md-to-pdf在处理YAML前置元数据时，未对用户输入进行充分过滤和沙箱隔离，导致嵌入的JavaScript代码在PDF渲染引擎（通常基于Chromium）中被直接执行。攻击者可构造特制的Markdown文件，利用此漏洞在服务器或用户本地环境中实现远程代码执行（RCE），完全控制受影响系统。漏洞信息来源于npm安全公告及第三方安全研究机构披露，其CVSS 10.0的评分反映了其在机密性、完整性和可用性方面的全面影响，且无需用户交互即可触发，危害性极高。

适用范围  

    此漏洞直接影响所有使用md-to-pdf库的Node.js应用程序开发者、运维人员以及集成此工具进行文档自动化处理的在线服务平台。具体涉及场景包括使用该工具批量生成报告、电子书、技术文档的Web应用、CI/CD流水线以及本地开发环境。

推荐措施 

    1、立即升级md-to-pdf至已修复的安全版本（如v10.1.0及以上），并检查项目中所有依赖项是否包含易受攻击的版本；

    2、在无法立即升级的情况下，应对所有用户上传的Markdown内容进行严格的输入验证和过滤，避免执行动态脚本，同时考虑使用替代的PDF生成方案。