プラットフォーム
nodejs
コンポーネント
md-to-pdf
修正版
5.2.6
5.2.5
CVE-2025-65108 は、md-to-pdf ライブラリにおけるリモートコード実行 (RCE) の脆弱性です。この脆弱性は、Markdown ファイルの front-matter ブロックに JavaScript 記述が含まれている場合に発生し、gray-matter ライブラリの JavaScript エンジンがその記述を実行してしまうことで発生します。この脆弱性は、Markdown から PDF への変換プロセスを悪用し、攻撃者がシステム上で任意のコードを実行することを可能にします。影響を受けるバージョンは 5.2.5 より前のバージョンです。バージョン 5.2.5 がリリースされ、この脆弱性が修正されました。
この脆弱性を悪用されると、攻撃者は Markdown ファイルの front-matter に悪意のある JavaScript コードを埋め込むことで、md-to-pdf プロセス上で任意のコードを実行できます。これにより、攻撃者は機密情報へのアクセス、システム設定の変更、さらにはシステム全体の制御を取得する可能性があります。特に、この脆弱性は、Markdown ファイルを処理するサーバーやアプリケーションが、信頼できないソースからの入力を受け入れる場合に深刻な脅威となります。この脆弱性は、Log4Shell のようなリモートコード実行の脆弱性と同様に、広範囲にわたる影響を及ぼす可能性があります。攻撃者は、この脆弱性を利用して、Web サイトの改ざん、マルウェアの配布、データの窃取など、様々な悪意のある活動を行う可能性があります。
CVE-2025-65108 は、2025年11月20日に公開されました。現時点では、この脆弱性を悪用する公開されている Proof of Concept (PoC) は確認されていませんが、リモートコード実行の脆弱性であるため、悪用される可能性は高いと考えられます。EPSS スコアは、現時点では評価中ですが、リモートコード実行の脆弱性であることから、中程度の確率で悪用される可能性があります。NVD および CISA の情報も確認し、最新の状況を把握することが重要です。
Applications built with Node.js that utilize the md-to-pdf library to convert Markdown to PDF are at risk. This includes content management systems, documentation generators, and any application processing untrusted Markdown input. Shared hosting environments where multiple applications share the same Node.js runtime are particularly vulnerable.
• nodejs / supply-chain:
npm audit md-to-pdf• nodejs / supply-chain:
yarn audit md-to-pdf• generic web:
Inspect application logs for any unusual process executions or errors related to Markdown processing. Look for patterns indicative of JavaScript execution within the md-to-pdf process.
• generic web:
Monitor network traffic for requests containing Markdown content with suspicious JavaScript delimiters in the front-matter.
disclosure
エクスプロイト状況
EPSS
0.56% (68% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まず、md-to-pdf ライブラリをバージョン 5.2.5 へのアップグレードを強く推奨します。アップグレードが直ちに不可能である場合は、入力検証を強化し、Markdown ファイルの front-matter に JavaScript 記述が含まれないようにする必要があります。また、WAF (Web Application Firewall) やプロキシサーバーを使用して、悪意のある JavaScript コードの実行をブロックすることも有効です。gray-matter ライブラリの JavaScript エンジンの機能を無効化することも、一時的な回避策として検討できます。Sigma や YARA などの検出ルールを作成し、脆弱性の悪用を監視することも重要です。アップグレード後、md-to-pdf が期待通りに動作することを確認してください。
Actualice la biblioteca md-to-pdf a la versión 5.2.5 o superior. Esto solucionará la vulnerabilidad de ejecución remota de código causada por el análisis inseguro del front matter. Ejecute `npm install md-to-pdf@latest` para actualizar.
脆弱性分析と重要アラートをメールでお届けします。
CVE-2025-65108 は、md-to-pdf ライブラリにおけるリモートコード実行 (RCE) の脆弱性です。Markdown ファイルの front-matter に悪意のある JavaScript コードを埋め込むことで、攻撃者が任意のコードを実行できます。
md-to-pdf ライブラリのバージョン 5.2.5 より前のバージョンを使用している場合は、この脆弱性の影響を受ける可能性があります。
md-to-pdf ライブラリをバージョン 5.2.5 へのアップグレードを強く推奨します。
現時点では、公開されている PoC は確認されていませんが、悪用される可能性は高いと考えられます。
NVD (National Vulnerability Database) や CISA (Cybersecurity and Infrastructure Security Agency) のウェブサイトで、最新の情報を確認できます。