一、 漏洞 CVE-2021-47836 基础信息

                                        # Markdown Explorer 0.1.1 持久化 XSS 漏洞

N/A
                                        

二、漏洞 CVE-2021-47836 的公开POC

三、漏洞 CVE-2021-47836 的情报信息

• 标题： Markdown Explorer 0.1.1 - Persistent Cross-Site Scripting - Multiple webapps Exploit -- 🔗来源链接

  标签：exploit

  神龙速读：

                                          ### 关键漏洞信息
  
  #### 基本信息
  - **EDB-ID**: 49826
  - **CVE**: N/A
  - **漏洞类型**: Webapps
  - **作者**: Taurus Omar
  - **发布日期**: 2021-05-05
  
  #### 漏洞细节
  - **漏洞名称**: Markdown Explorer 0.1.1 - Persistent Cross-Site Scripting (XSS to RCE)
  - **风险等级**: 高 (8.8)
  - **受影响版本**: 0.1.1
  - **受影响平台**: Windows, Linux, macOS
  - **测试平台**: Windows, Linux, macOS
  
  #### 漏洞描述
  Markdown Explorer 是一个用于探索、查看和编辑 Markdown 文档的工具。通过文件树结构展示 `.md` 文件，并允许通过文件名或文件内容进行过滤。
  
  #### 漏洞利用
  - **CVE**: 3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
  - **利用方式**: 漏洞允许通过XSS转为远程代码执行 (RCE)。
  
  #### 示例 Payload
  ```plaintext
  exec(Attacker Reverse netcat stolen => /etc/passwd) && exec(calc)
  ```
  
  #### 代码片段
  ```html
  <audio src=x onerror=writeln(String.fromCharCode(10,60,97,117,100,105,111,32,115,114,99,61,120,32,111,110,101,101,114,114,111,101,114,61,119,114,105,116,101,110,60,10))
  ```
  
  #### 其他
  - **GitHub 链接**: https://github.com/jersou/markdown-explorer
  - **标签**: 无
                                          

  

• 标题： - GIF - Imgur -- 🔗来源链接

  标签：exploit

  神龙速读：

                                          从这张网页截图中，我们可以提取到关于漏洞的关键信息如下：
  
  - **个人信息收集**：Imgur请求用户的同意来使用其个人数据用于个性化广告和内容、广告和内容测量、受众研究和业务发展。
  - **数据存储和访问**：Imgur可能会在设备上存储和/或访问信息，包括但不限于cookies、唯一标识符和其他设备数据。
  - **数据共享**：用户的个人数据可能会被存储、访问、分享给168个TCF供应商和80个广告合作伙伴，或者是特此网站专门使用。
  - **用户选择**：用户可以通过管理选项来调整其隐私和cookie设置，或在页面底部的链接或网站菜单中撤回同意。
  
  这些信息提示用户在提供个人信息时需要谨慎，并了解谁可能访问这些数据以及数据将如何使用。此外，这也表明了在网站设计和数据处理上可能存在的隐私管理风险和用户同意机制的重要性。
                                          

  

• 标题： GitHub - jersou/markdown-explorer: Easily explore, view and edit markdown documentation of a file tree -- 🔗来源链接

  标签：product

  神龙速读：

                                          ### 关键漏洞信息
  
  从这个网页截图中无法直接获取到关于漏洞的关键信息。这是一个GitHub项目的页面，展示了一个名为“Markdown Explorer”的项目。以下是一些与项目相关的细节，但并不涉及漏洞：
  
  - **项目名称**: Markdown Explorer
  - **描述**: 一款用于浏览、查看和编辑Markdown文档的工具
  - **语言**: 主要使用JavaScript（70.3%）、HTML（23.4%）等
  - **许可证**: MIT License
  - **贡献者**: 4名
  
  如果要查找漏洞信息，建议查看项目的**Issues**标签或**Security**标签，或者查看项目的更新日志和发布说明中是否有已知漏洞的修复记录。
                                          

  

• 标题： Markdown Explorer 0.1.1 - Persistent Cross-Site Scripting | Advisories | VulnCheck -- 🔗来源链接

  标签：third-party-advisory

  神龙速读：

                                          - **Name**: Markdown Explorer 0.1.1 - Persistent Cross-Site Scripting
  - **Severity**: Medium
  - **Date**: January 16, 2026
  - **CVE**: CVE-2021-47836
  - **CWE**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')
  - **CVSS**: 4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N
  
  ### Description
  Markdown Explorer 0.1.1 contains a cross-site scripting vulnerability that allows attackers to inject malicious code through file uploads and editor inputs. Attackers can upload markdown files with embedded JavaScript payloads to execute remote commands and potentially gain system access.
  
  ### References
  - [ExploitDB-49826](#)
  - [Markdown Explorer GitHub Repository](#)
  - [Proof of Concept Video](#)
  
  ### Credit
  TaurusOmar
                                          

  
• https://nvd.nist.gov/vuln/detail/CVE-2021-47836

四、漏洞 CVE-2021-47836 的评论