Markdown Preview Enhanced before 0.8.28 opens external files and links from the preview through a shell and does not validate untrusted inputs taken from the markdown document - the diagram filename attribute, imported file paths, and the latex_engine code-chunk attribute. On Windows, a crafted markdown document can inject operating system commands that execute when the document is previewed. Fixed in 0.8.28 by passing these inputs as literal arguments instead of through a shell and validating them before use.
Markdown Preview Enhanced versions before 0.8.28 allow command injection through unvalidated inputs in diagram filenames, imported file paths, and LaTeX engine attributes when previewing markdown documents on Windows. An attacker can craft malicious markdown files that execute arbitrary OS commands when previewed, potentially compromising system security.
يحتوي Markdown Preview Enhanced على ثغرة حقن أوامر في الإصدارات السابقة للإصدار 0.8.28 حيث يتم تمرير مدخلات غير معتمدة مباشرة إلى shell دون التحقق من صحتها. يمكن لمهاجم استغلال هذه الثغرة بإنشاء ملف markdown ضار يحتوي على أوامر نظام تشغيل في سمات الرسوم البيانية أو مسارات الملفات المستوردة.
Markdown Preview Enhanced قبل الإصدار 0.8.28 يسمح بحقن الأوامر من خلال مدخلات غير معتمدة في أسماء الرسوم البيانية ومسارات الملفات المستوردة وسمات محرك LaTeX عند معاينة مستندات Markdown على Windows. يمكن لمهاجم إنشاء ملفات markdown ضارة تنفذ أوامر نظام تشغيل عشوائية عند معاينتها.
Update Markdown Preview Enhanced to version 0.8.28 or later immediately. Avoid opening untrusted markdown documents in the preview feature. Implement input validation and restrict file access permissions for markdown processing tools.
قم بتحديث Markdown Preview Enhanced إلى الإصدار 0.8.28 أو أحدث فوراً. تجنب فتح مستندات markdown غير الموثوقة في ميزة المعاينة. قم بتنفيذ التحقق من صحة المدخلات وتقييد أذونات الوصول للملفات لأدوات معالجة markdown.