简介 

    全球网安事件速递：高危Markdown转PDF漏洞可通过Markdown前置元数据实现JS注入攻击（CVE-2025-65108，CVSS 10.0）。该漏洞影响md-to-pdf工具，恶意Markdown前置元数据可执行任意JS代码，导致系统入侵，5.2.5以下版本均受影响。此漏洞暴露了文档转换工具在解析用户输入时的安全风险，需立即采取缓解措施。

核心详情 

    CVE-2025-65108是一个CVSS评分为10.0的严重漏洞，存在于md-to-pdf npm包中。攻击者通过构造恶意的Markdown前置元数据（如YAML front matter），在PDF生成过程中注入并执行任意JavaScript代码。技术原理涉及工具未对用户输入的元数据进行充分沙箱隔离或过滤，使得恶意脚本在PDF渲染引擎中运行，可能导致服务器权限被窃取、数据泄露或进一步内网渗透。该漏洞影响所有5.2.5之前的版本，已由安全研究人员公开披露，并强调了开发环境中依赖包管理的脆弱性。

适用范围  

    适用于使用md-to-pdf工具的开发团队、系统管理员，以及任何通过Markdown生成PDF文档的业务场景，如报告自动化、文档管理系统和在线出版平台。尤其影响Node.js环境中集成此包的应用。

推荐措施 

    1、立即升级md-to-pdf到5.2.5或更高版本，并检查项目依赖以消除漏洞；2、在CI/CD流程中集成软件成分分析工具扫描第三方包，同时实施输入验证和输出编码来防御注入攻击，避免处理不可信Markdown文件。