漏洞概述 漏洞名称: Markdown Preview Enhanced Enhanced Arbitrary Code Execution via Bitfield interpretJS() CVE编号: CVE-2026-49493 CWE编号: CWE-94 Improper Control of Generation of Code ('Code Injection') CVSS评分: 8.6 CVSS V4 Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:R/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 发布日期: 6/5/2026 严重程度: HIGH 影响范围 受影响版本: Markdown Preview Enhanced >= 0, < 0.8.28 修复方案 修复版本: 0.8.28 修复方法: 通过解析bitfield寄存器定义使用 ,因为它们纯粹是数据。 描述 Markdown Preview Enhanced 在 0.8.28 版本之前,会解析包含 的 Bitfield 代码块,这会导致任意代码执行。攻击者可以通过构造包含恶意 bitfield 代码块的 Markdown 文档,在文档渲染或导出时执行攻击者控制的代码。该问题已在 0.8.28 版本中通过解析 bitfield 寄存器定义使用 得到修复。 参考链接 Release 0.8.28 其他信息 VulnCheck: 提供漏洞情报和威胁情报平台,帮助优先处理和修复漏洞。 功能: - Vulnerability Prioritization: 根据威胁景观优先处理重要的漏洞。 - Early Warning System: 实时警报漏洞景观中的变化,以便在攻击开始前采取行动。 总结 Markdown Preview Enhanced 在 0.8.28 版本之前存在任意代码执行漏洞,攻击者可以通过构造恶意 Markdown 文档执行任意代码。该漏洞已在 0.8.28 版本中修复,建议用户升级到最新版本以确保安全。