CVE-2025-65108

CRÍTIC (10,0)

CVSS3: 0,0

md-to-pdf és una eina CLI per convertir fitxers Markdown a PDF mitjançant Node.js i Chrome sense capçalera. Abans de la versió 5.2.5, un bloc frontal de Markdown que conté un delimitador de JavaScript fa que el motor JS de la biblioteca d’anàlisi (grey-matter library) executi codi arbitrari al procés de conversió de Markdown a PDF de la biblioteca md-to-pdf, cosa que provoca l’execució remota de codi.

post:/platform/configuration/security/service-accountsdelete:/platform/configuration/security/service-accounts/{user_id}patch:/platform/configuration/security/service-accounts/{user_id}post:/platform/configuration/security/service-accounts/{user_id}/keysdelete:/platform/configuration/security/service-accounts/{user_id}/keys/{api_key_id}patch:/userpost:/userspost:/users/auth/keysdelete:/users/auth/keysdelete:/users/auth/keys/_alldelete:/users/auth/keys/{api_key_id}delete:/users/{user_id}/auth/keysdelete:/users/{user_id}/auth/keys/{api_key_id}delete:/users/{user_name}patch:/users/{user_name}

Sistemes Afectats

• simonhaenisch md-to-pdf

Remediació
Aquest problema s’ha corregit a la versió 5.2.5.Vegeu-ne les Referències.

Referències

• https://github.com/simonhaenisch/md-to-pdf/security/advisories/GHSA-547r-qmjm-8hvw
• https://github.com/simonhaenisch/md-to pdf/commit/46bdcf2051c8d1758b391c1353185a179a47a4d9
• https://raw.githubusercontent.com/CVEProject/cvelistV5/main/cves/2025/65xxx/CVE-2025-65108.json