一、 漏洞 CVE-2021-47837 基础信息
漏洞信息
# Markdownify 1.2.0 持久化XSS漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Markdownify 1.2.0 - Persistent Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Markdownify 1.2.0 contains a persistent cross-site scripting vulnerability that allows attackers to store malicious payloads within markdown files. Attackers can upload crafted markdown files with embedded scripts that execute when the file is opened, potentially enabling remote code execution.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47837 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47837 的情报信息
标题: Markdownify 1.2.0 - Persistent Cross-Site Scripting - Multiple webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:- **EDB-ID:** 49835 - **CVE:** N/A - **Author:** TAURUSOMAR - **Type:** WEBAPPS - **Platform:** MULTIPLE - **Date:** 2021-05-05 - **Vulnerable App:** Markdownify 1.2.0 - **CVE Score:** 3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - **Risk:** High (8.8) - **Vendor Homepage:** https://github.com/amitmerchant1990/electron-markdownify - **Version:** 1.2.0 - **Tested on:** Windows, Linux, MacOS # Exploit Title: Markdownify 1.2.0 - Persistent Cross-Site Scripting # Exploit Author: TaurusOmar # Date: 04/05/2021 # Version: 1.2.0 # Vulnerability Description: Persistent Cross-Site Scripting vulnerability in Markdownify 1.2.0 allows attackers to execute arbitrary scripts or HTML content via unspecified vector.
标题: - GIF - Imgur -- 🔗来源链接
标签:exploit
神龙速读:从这个网页截图中,我们可以获取到以下关于漏洞的关键信息: - **数据使用目的**: - 个性化广告和内容 - 广告和内容测量 - 受众研究和服务开发 - **数据存储和访问**: - 存储和/或访问设备上的信息 - **数据共享**: - 个人数据可能被168个TCF供应商和80个广告合作伙伴存储、访问和共享 - **透明度和控制**: - 可以通过底部页面的链接或网站菜单中的选项来管理和撤回隐私和Cookie设置 - **合法利益**: - 某些供应商可能基于合法利益处理个人数据,用户可以管理这些选项 这些信息表明网站在处理用户数据时的透明度,并允许用户有一定的控制权来管理其数据使用。
标题: GitHub - amitmerchant1990/electron-markdownify: :closed_book: A minimal Markdown editor desktop app -- 🔗来源链接
标签:product
神龙速读:从该网页截图中无法获取到任何关于漏洞的关键信息。这是Markdownify项目主页,一个基于Electron的Markdown编辑器,主要信息包括其功能、如何使用、下载、相关链接、许可证等,没有关于安全漏洞的描述。有关安全漏洞的信息通常可以在项目的“Security”选项卡下找到,但在该截图中未显示该选项卡内容。
标题: Markdownify 1.2.0 - Persistent Cross-Site Scripting | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:Markdownify 1.2.0 - Persistent Cross-Site Scripting * **Severity:** MEDIUM * **Date:** January 16, 2026 * **Affecting:** Markdownify 1.2.0 * **CVE ID:** CVE-2021-47835 * **References:** * ExploitDB-49835 * Markdownify GitHub Repository * Proof of Concept Video * **Credit:** TaurusOmar * **Description:** Markdownify 1.2.0 contains a persistent cross-site scripting vulnerability that allows attackers to store malicious payloads within markdown files. Attackers can upload crafted markdown files with embedded scripts that execute when the file is opened, potentially enabling remote code execution.
- https://nvd.nist.gov/vuln/detail/CVE-2021-47837
四、漏洞 CVE-2021-47837 的评论
暂无评论