关键信息总结 漏洞概述 漏洞名称: markdown-it 14.1.0 - Cross-site scripting (XSS) 严重性: High CVE编号: CVE-2022-36542 CVSS评分: 7.5 影响版本: markdown-it = 14.1.1 漏洞描述 Markdown-it库在处理某些特定的Markdown输入时,存在跨站脚本(XSS)漏洞。攻击者可以通过构造恶意的Markdown代码块来注入JavaScript代码,从而在受害者浏览器中执行任意脚本。 漏洞细节 示例代码 影响范围 当用户输入包含恶意脚本的Markdown内容时,这些脚本会在渲染页面时被执行。 攻击者可以利用此漏洞进行会话劫持、钓鱼攻击等。 利用方式 通过构造特定的Markdown代码块,攻击者可以在目标网站上触发XSS攻击,导致用户的敏感信息被窃取或被引导至恶意网站。 缓解措施 升级到markdown-it 14.1.1或更高版本。 对用户输入的Markdown内容进行严格的过滤和转义,防止恶意脚本的注入。 时间线 发现日期: 2022-10-05 报告日期: 2022-10-06 修复日期: 2022-10-07 公开日期: 2022-10-08 参考链接 GitHub Issue NVD 致谢 感谢发现并报告此漏洞的安全研究人员。