vscode-markdown-preview-enhanced <=0.6.5 存在命令执行漏洞-低调大师

vscode-markdown-preview-enhanced <=0.6.5 存在命令执行漏洞

2022-11-28 440

漏洞描述

vscode-markdown-preview-enhanced是一个vscode插件，用来预览markdown。vscode-markdown-preview-enhanced <=v0.6.5版本存在代码执行漏洞，原因是task常量赋值时（PDF 导入功能）对传入的参数未进行过滤，从而导致了操作系统命令注入。当用户打开恶意md文件时，攻击者可利用此漏洞执行任意代码。

漏洞名称	vscode-markdown-preview-enhanced <=0.6.5存在命令执行漏洞
漏洞类型	命令注入
发现时间	2022-11-24
漏洞影响广度	一般
MPS编号	MPS-2022-65219
CVE编号	-
CNVD编号	-

影响范围

vscode-markdown-preview-enhanced@[0, 0.6.5]

修复方案

官方尚未发布补丁，请关注官方通告：https://github.com/shd101wyy/vscode-markdown-preview-enhanced

参考链接

https://www.oscs1024.com/hd/MPS-2022-65219

https://github.com/shd101wyy/mume/issues/273

https://github.com/shd101wyy/markdown-preview-enhanced/issues/1766

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/219672

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

MiniFramework 2.9.4 版本发布，轻量级的 PHP 开发框架

2022年11月28日，MiniFramework 发布了 2.9.4 版本，主要变化如下：改进 Mini\Base\Model 类的 where() 方法，对传入的数学和逻辑运算符号大小写不敏感。改进 Mini\Db\Mysql 类中抛出异常的方式。修复日志在特定场景下会重复记录的Bug。优化异常信息显示和日志记录格式。优化异常处理机制，将与异常处理相关的方法迁移至 Mini\Base\Exception 类。完善找不到数据库对象时的异常报错信息。（了解详情：https://gitee.com/jasonwei/miniframework/releases/tag/2.9.4）获取源代码： Gitee（推荐）：https://gitee.com/jasonwei/miniframework Github：https://github.com/jasonweicn/miniframework 开发者指南：在线版：https://www.miniframework.com/docv2/guide/ MiniFramework 是一款遵循 Apache2 开源协议发布的，...

2022-11-28

403

2022/11/28 http-little-toy 一个简单的 http 并发测试工具。 README.md ⭐️README.MD⭐️ En 仓库地址如果喜欢就star⭐️一下吧，让它沉睡在你的收藏库里。 https://github.com/leihenshang/http-little-toy https://gitee.com/leihenshang/http-little-toy 更新 v0.0.4 重构项目main,拆分解耦逻辑重构参数验证,删除 -d 和 -t 的强制验证添加 User-Agent 标识 http-little-toy [version] 完善请求文件逻辑，请求文件优先级 > 命令行参数介绍灵感来源于 github 上各种版本的 wrk http并发测试工具，有一天看了一个go写的版本，就这？我也能行啊。我自己也造一个轮子吧。orz. 造轮子好玩吗？真好玩！特性命令行中加入设置 header 头命令行中加入设置 body 负载完善一下 request.json 请求文件的逻辑添加记录响应数据日志的功能，方便分析新增 http...

2022-11-28

373

资源下载

更多资源

Oracle

Oracle Database，又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。它是在数据库领域一直处于领先地位的产品。可以说Oracle数据库系统是目前世界上流行的关系数据库管理系统，系统可移植性好、使用方便、功能强，适用于各类大、中、小、微机环境。它是一种高效率、可靠性好的、适应高吞吐量的数据库方案。

Apache Tomcat

Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。因为Tomcat 技术先进、性能稳定，而且免费，因而深受Java 爱好者的喜爱并得到了部分软件开发商的认可，成为目前比较流行的Web 应用服务器。

Eclipse

Eclipse 是一个开放源代码的、基于Java的可扩展开发平台。就其本身而言，它只是一个框架和一组服务，用于通过插件组件构建开发环境。幸运的是，Eclipse 附带了一个标准的插件集，包括Java开发工具（Java Development Kit，JDK）。

JDK

JDK是 Java 语言的软件开发工具包，主要用于移动设备、嵌入式设备上的java应用程序。JDK是整个java开发的核心，它包含了JAVA的运行环境（JVM+Java系统类库）和JAVA工具。