CVE-2023-53940：Alfonzm Codigo Markdown Editor 中的代码生成不当控制（“代码注入”）

严重性：高 类型：漏洞 CVE：CVE-2023-53940

Codigo Markdown Editor 1.0.1 包含一个代码执行漏洞，允许攻击者通过制作恶意 markdown 文件来运行任意系统命令。攻击者可以嵌入一个带有 onerror 事件的视频源，当文件被打开时，该事件通过 Node.js 的 child_process 模块执行 shell 命令。

技术摘要

CVE-2023-53940 是在 Alfonzm 的 Codigo Markdown Editor 1.0.1 版本中发现的一个关键代码注入漏洞。该缺陷源于渲染 markdown 文件时对代码生成的控制不当。具体来说，编辑器处理嵌入的视频源时，可能包含一个 onerror 事件处理器。攻击者可以制作一个恶意的 markdown 文件，嵌入一个带有 onerror 属性的视频标签，该属性通过 Node.js 的 child_process 模块执行任意的 shell 命令。当用户在存在漏洞的编辑器中打开这个恶意 markdown 文件时，onerror 事件被触发，导致执行攻击者提供的系统命令，而无需任何身份验证或提升的权限。

该漏洞利用了 Node.js 运行时环境生成子进程的能力，而在此上下文中未进行适当的沙箱化或限制。CVSS 4.0 评分为 8.4，反映了对机密性、完整性和可用性的高影响，同时攻击复杂性低且无需权限。需要用户交互，即受害者必须打开恶意 markdown 文件。目前，尚未发现野外利用，但远程代码执行的潜力使其成为一个严重威胁。该漏洞仅影响 Codigo Markdown Editor 的 1.0.1 版本，目前尚未发布补丁。此缺陷可能被利用来执行任意命令，可能导致系统完全被入侵、数据盗窃或服务中断。

潜在影响

对于欧洲的组织机构而言，此漏洞构成了重大风险，特别是那些依赖 Codigo Markdown Editor 进行文档编写、笔记记录或软件开发工作流的组织。成功利用可能导致未经授权的系统访问、数据泄露或恶意软件部署，影响敏感信息的机密性和完整性。如果攻击者执行破坏性命令或勒索软件，可用性也可能受到影响。鉴于该编辑器使用 Node.js，拥有大量 JavaScript 工具和开发活动的环境尤其脆弱。用户交互的要求意味着网络钓鱼或社会工程学可能成为攻击媒介。目前没有已知的野外利用降低了立即风险，但并未消除威胁，尤其是在攻击者通常在漏洞披露后迅速将其武器化的情况下。对文件来源控制松懈或端点保护不足的欧洲组织可能面临更高的风险。在拥有关键基础设施或敏感数据的行业，如金融、医疗保健和政府机构，其影响会进一步加剧。

缓解建议

组织应立即审核其 Codigo Markdown Editor 的使用情况，并识别所有 1.0.1 版本的安装实例。在补丁发布之前，应指示用户避免打开来自不受信任或未知来源的 markdown 文件。实施严格的电子邮件和文件过滤，以阻止潜在的恶意 markdown 文件。部署能够检测由 Node.js 应用程序产生的异常子进程执行的端点保护解决方案。考虑在权限受限的限制性环境中对编辑器进行沙箱化或运行，以最大限度地减少潜在损害。监控与 child_process 调用相关的可疑活动日志。教育用户关于打开未经请求的 markdown 文件的风险以及验证文件来源的重要性。一旦补丁可用，应优先立即部署。此外，组织可以探索具有更好安全态势的替代 markdown 编辑器，或者禁用允许在 markdown 内容中执行嵌入脚本或事件的功能。

受影响国家

德国、法国、英国、荷兰、瑞典、意大利

来源： CVE Database V5 发布日期： 2025年12月18日 星期四