Wiz
Datenbank der SchwachstelleCVE-2025-65108

CVE-2025-65108
JavaScript Schwachstellenanalyse und -minderung

Überblick

md-to-pdf is a CLI tool for converting Markdown files to PDF using Node.js and headless Chrome. Prior to version 5.2.5, a critical vulnerability (CVE-2025-65108) was discovered where a Markdown front-matter block containing JavaScript delimiter could trigger arbitrary code execution in the converter process. This vulnerability was disclosed on November 20, 2025, affecting all versions below 5.2.5 (GitHub Advisory).

Technische Details

The vulnerability stems from md-to-pdf's use of the gray-matter library to parse front-matter. The gray-matter library includes a JavaScript engine that can be triggered by specific front-matter delimiters (---js or ---javascript), allowing evaluation of front-matter contents as JavaScript. When user-supplied Markdown containing malicious JavaScript in the front-matter is processed, the converter executes that code. The vulnerability has been assigned a CVSS v3.1 base score of 10.0 (Critical), with attack vector: Network, attack complexity: Low, privileges required: None, user interaction: None, scope: Changed, and impact levels (confidentiality, integrity, availability) all rated as High (GitHub Advisory).

Aufprall

The vulnerability enables remote code execution in the process that performs Markdown-to-PDF conversion. If the converter is running in a web application or cloud service environment, an attacker could execute arbitrary commands on the host system by uploading malicious Markdown content. This poses a significant risk to system security and data integrity (GitHub Advisory).

Risikominderung und Problemumgehungen

The vulnerability has been patched in version 5.2.5 and later. Users should upgrade to the latest version immediately. The fix involves correctly overriding the JavaScript engine of gray-matter to prevent arbitrary code execution (GitHub Commit).

Zusätzliche Ressourcen

QuelleDieser Bericht wurde mithilfe von KI erstellt

Verwandt JavaScript Schwachstellen:

CVE-Kennung

Strenge

Punktzahl

Technologieen

Name der Komponente

CISA KEV-Exploit

Hat fix

Veröffentlichungsdatum

CVE-2025-65108CRITICAL10
  • JavaScriptJavaScript
  • md-to-pdf
NeinJaNov 21, 2025
GHSA-4vcf-q4xf-f48mHIGH7.1
  • JavaScriptJavaScript
  • @better-auth/passkey
NeinJaNov 25, 2025
GHSA-675q-66gf-gqg8MEDIUM6.9
  • JavaScriptJavaScript
  • @oneuptime/common
NeinJaNov 25, 2025
CVE-2025-13466MEDIUM5.5
  • JavaScriptJavaScript
  • body-parser
NeinJaNov 24, 2025
CVE-2025-65944MEDIUM5.1
  • JavaScriptJavaScript
  • @sentry/sveltekit
NeinJaNov 25, 2025

Kostenlose Schwachstellenbewertung

Benchmarking Ihrer Cloud-Sicherheitslage

Bewerten Sie Ihre Cloud-Sicherheitspraktiken in 9 Sicherheitsbereichen, um Ihr Risikoniveau zu bewerten und Lücken in Ihren Abwehrmaßnahmen zu identifizieren.

Bewertung anfordern

Zusätzliche Wiz-Ressourcen

Cloud Vulnerability DB

Cloud Vulnerability DB

Eine von der Community geführte Datenbank für Schwachstellen

PEACH

PEACH

Ein Framework zur Mandantenisolation

Eine personalisierte Demo anfordern

Sind Sie bereit, Wiz in Aktion zu sehen?

"Die beste Benutzererfahrung, die ich je gesehen habe, bietet vollständige Transparenz für Cloud-Workloads."
David EstlickCISO
"„Wiz bietet eine zentrale Oberfläche, um zu sehen, was in unseren Cloud-Umgebungen vor sich geht.“ "
Adam FletcherSicherheitsbeauftragter
"„Wir wissen, dass, wenn Wiz etwas als kritisch identifiziert, es auch tatsächlich ist.“"
Greg PoniatowskiLeiter Bedrohungs- und Schwachstellenmanagement
Demo anfordern