漏洞概述 漏洞名称: Markdown Preview Enhanced OS Command Injection in External File and Link Opening CVE编号: CVE-2026-49492 CWE编号: CWE-78 Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') CVSS评分: 8.6 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 发布日期: 6/5/2026 严重程度: HIGH 影响范围 受影响版本: Markdown Preview Enhanced >= 0, < 0.8.28 修复方案 修复版本: 0.8.28 修复方法: 在0.8.28版本中,通过将这些输入作为字面参数而不是通过shell传递并在使用前验证它们来修复此漏洞。 描述 Markdown Preview Enhanced 在0.8.28版本之前,通过shell打开预览中的外部文件和链接,并且没有验证从markdown文档中获取的未受信任输入——包括diagram filename属性、导入的文件路径和latex引擎代码块属性。在Windows上,一个精心制作的markdown文档可以注入操作系统命令,这些命令会在预览文档时执行。 参考链接 Release 0.8.28 贡献者 byte16384 --- 总结 该漏洞涉及Markdown Preview Enhanced插件在预览外部文件和链接时存在操作系统命令注入风险。攻击者可以通过精心构造的markdown文档注入并执行操作系统命令。此漏洞已在0.8.28版本中修复,修复方法是通过字面参数传递输入并在使用前进行验证。