一、 漏洞 CVE-2021-47842 基础信息
漏洞信息
# StudyMD 0.3.2 持久型XSS漏洞
N/A
神龙判断
是否为 Web 类漏洞: 未知
判断理由:
N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
StudyMD 0.3.2 - Persistent Cross-Site Scripting
来源:美国国家漏洞数据库 NVD
漏洞描述信息
StudyMD 0.3.2 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts into markdown files. Attackers can upload crafted markdown files with embedded JavaScript payloads that execute when the file is opened, potentially enabling remote code execution.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2021-47842 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2021-47842 的情报信息
标题: StudyMD 0.3.2 - Persistent Cross-Site Scripting - Multiple webapps Exploit -- 🔗来源链接
标签:exploit
神龙速读:## 关键信息 - **漏洞标题**: StudyMD 0.3.2 - Persistent Cross-Site Scripting - **EDB-ID**: 49832 - **CVE**: N/A - **作者**: TaurusOmar - **类型**: Webapps - **平台**: Multiple - **日期**: 2021-05-05 - **已验证**: 未验证 - **风险**: 高 (8.8) - **CVE评分**: 3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H - **厂商主页**: https://github.com/jotron/StudyMD - **版本**: 0.3.2 - **已测试平台**: Windows, Linux, MacOS - **软件描述**: 一个用来学习markdown的酷炫应用。将你的Markdown总结转换为Flashcard。允许用户根据markdown文件(.md)创建闪卡,方便查看结构。 - **漏洞描述**: 无 - **代码示例**: - `<audio src=x onerror=writeIn(String.fromCharCode(10,60,97,117,100,105,111,32,115,114,99,61,120,32,115,117,99,101,34,110,97,114,99,32,34,61,34,104,116,116,97,110,61,111,100,116,58,47,47,44,47,34)`
标题: - GIF - Imgur -- 🔗来源链接
标签:exploit
神龙速读:- **页面标题**:Imgur asks for your consent to use your personal data - **用途**: - Personalised advertising and content, advertising and content measurement, audience research and services development - Store and/or access information on a device - **涉及的第三方**: - 168 TCF vendor(s) - 80 ad partner(s) - **用户选项**: - Manage options - Consent
标题: GitHub - jotron/StudyMD: Flashcards from Markdown. Built with React and Electron -- 🔗来源链接
标签:product
神龙速读:### 关键漏洞信息 - **项目名称**: StudyMD - **项目描述**: 一个将Markdown总结转换为Flashcard的学习工具。 - **代码库状态**: - 最后一次提交时间: 8年前 - 提交总数: 30次 - **许可证**: MIT License - **编程语言**: 主要使用JavaScript,占比98.6% - **技术栈**: - 使用Electron、React和Markdown相关库(如markdown-it, markdown-it-katex) - **版本**: 最新版本为0.3.2,发布于2018年6月9日 - **活跃程度**: - 在GitHub上该仓库有116颗星和13次fork - 最近3年的活跃度较低,可能存在的漏洞未被及时发现和修复 - **潜在安全风险**: - 项目长时间未更新,可能存在未修复的安全漏洞 - 使用的第三方库可能引入安全风险,特别是关于Markdown解析和渲染的部分需要特别注意,如XSS等
标题: StudyMD 0.3.2 - Persistent Cross-Site Scripting | Advisories | VulnCheck -- 🔗来源链接
标签:third-party-advisory
神龙速读:- **Severity**: MEDIUM - **Date**: January 16, 2026 - **Affecting**: StudyMD 0.3.2 - **CVE**: CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') - **CVSS Score**: 7.5 - **Vector**: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N - **References**: - [ExploitDB-49832](link) - [StudyMD GitHub Repository](link) - [Proof of Concept Video](link) - **Credit**: TaurusOmar - **Description**: StudyMD 0.3.2 contains a persistent cross-site scripting vulnerability that allows attackers to inject malicious scripts into markdown files. Attackers can upload crafted markdown files with embedded JavaScript payloads that execute when the file is opened, potentially enabling remote code execution.
- https://nvd.nist.gov/vuln/detail/CVE-2021-47842
四、漏洞 CVE-2021-47842 的评论
暂无评论