vscode-markdown-preview-enhanced <=0.6.5 存在命令执行漏洞-低调大师

vscode-markdown-preview-enhanced <=0.6.5 存在命令执行漏洞

2022-11-28 462

漏洞描述

vscode-markdown-preview-enhanced是一个vscode插件，用来预览markdown。vscode-markdown-preview-enhanced <=v0.6.5版本存在代码执行漏洞，原因是task常量赋值时（PDF 导入功能）对传入的参数未进行过滤，从而导致了操作系统命令注入。当用户打开恶意md文件时，攻击者可利用此漏洞执行任意代码。

漏洞名称	vscode-markdown-preview-enhanced <=0.6.5存在命令执行漏洞
漏洞类型	命令注入
发现时间	2022-11-24
漏洞影响广度	一般
MPS编号	MPS-2022-65219
CVE编号	-
CNVD编号	-

影响范围

vscode-markdown-preview-enhanced@[0, 0.6.5]

修复方案

官方尚未发布补丁，请关注官方通告：https://github.com/shd101wyy/vscode-markdown-preview-enhanced

参考链接

https://www.oscs1024.com/hd/MPS-2022-65219

https://github.com/shd101wyy/mume/issues/273

https://github.com/shd101wyy/markdown-preview-enhanced/issues/1766

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式，发布开源项目最新的安全风险动态，包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务，社区用户可通过配置飞书、钉钉、企业微信机器人，及时获得一手情报信息推送：

https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见：

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

微信关注我们

原文链接：https://www.oschina.net/news/219672

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

MiniFramework 2.9.4 版本发布，轻量级的 PHP 开发框架

2022年11月28日，MiniFramework 发布了 2.9.4 版本，主要变化如下：改进 Mini\Base\Model 类的 where() 方法，对传入的数学和逻辑运算符号大小写不敏感。改进 Mini\Db\Mysql 类中抛出异常的方式。修复日志在特定场景下会重复记录的Bug。优化异常信息显示和日志记录格式。优化异常处理机制，将与异常处理相关的方法迁移至 Mini\Base\Exception 类。完善找不到数据库对象时的异常报错信息。（了解详情：https://gitee.com/jasonwei/miniframework/releases/tag/2.9.4）获取源代码： Gitee（推荐）：https://gitee.com/jasonwei/miniframework Github：https://github.com/jasonweicn/miniframework 开发者指南：在线版：https://www.miniframework.com/docv2/guide/ MiniFramework 是一款遵循 Apache2 开源协议发布的，...

2022-11-28

422

2022/11/28 http-little-toy 一个简单的 http 并发测试工具。 README.md ⭐️README.MD⭐️ En 仓库地址如果喜欢就star⭐️一下吧，让它沉睡在你的收藏库里。 https://github.com/leihenshang/http-little-toy https://gitee.com/leihenshang/http-little-toy 更新 v0.0.4 重构项目main,拆分解耦逻辑重构参数验证,删除 -d 和 -t 的强制验证添加 User-Agent 标识 http-little-toy [version] 完善请求文件逻辑，请求文件优先级 > 命令行参数介绍灵感来源于 github 上各种版本的 wrk http并发测试工具，有一天看了一个go写的版本，就这？我也能行啊。我自己也造一个轮子吧。orz. 造轮子好玩吗？真好玩！特性命令行中加入设置 header 头命令行中加入设置 body 负载完善一下 request.json 请求文件的逻辑添加记录响应数据日志的功能，方便分析新增 http...

2022-11-28

397

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。