Vulnerabilities ›

CVE-2026-49493

High

CWE-94 — Weakness Type

                    Published: Jun 5, 2026                      ·  Modified: Jun 10, 2026                      ·  Source: NVD                

CVSS v3

8.8

🔗 NVD Official

📄 Description (English)

Markdown Preview Enhanced before 0.8.28 parses Bitfield fenced code blocks with interpretJS(), which evaluates the block content as code via vm.runInNewContext(), allowing arbitrary code execution. A crafted markdown document containing a malicious bitfield code block executes attacker-controlled code on the server side when the document is rendered or exported. Fixed in 0.8.28 by parsing bitfield register definitions with JSON5.parse(), since they are purely data.

🤖 AI Executive Summary

Markdown Preview Enhanced versions before 0.8.28 allow arbitrary code execution through malicious bitfield code blocks that are evaluated as JavaScript via vm.runInNewContext(). An attacker can craft a markdown document with a malicious bitfield block to execute arbitrary code when the document is rendered or exported.

📄 Description (Arabic)

تحتوي نسخ Markdown Preview Enhanced السابقة للإصدار 0.8.28 على ثغرة في معالجة كتل bitfield حيث يتم تقييم محتوى الكتلة كرمز JavaScript قابل للتنفيذ. يمكن لمهاجم استغلال هذه الثغرة بإنشاء مستند markdown ضار يؤدي إلى تنفيذ كود عشوائي على جهاز الخادم أو العميل.

🤖 ملخص تنفيذي (AI)

إصدارات Markdown Preview Enhanced السابقة للإصدار 0.8.28 تسمح بتنفيذ كود عشوائي من خلال كتل bitfield ضارة يتم تقييمها كـ JavaScript. يمكن لمهاجم إنشاء مستند markdown يحتوي على كتلة bitfield ضارة لتنفيذ كود عشوائي عند عرض أو تصدير المستند.

🤖 AI Intelligence Analysis Analyzed: Jun 9, 2026 18:18

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government telecom banking healthcare

🎯 MITRE ATT&CK Techniques

T1203 T1059.007 T1190

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade Markdown Preview Enhanced to version 0.8.28 or later immediately. Review and audit any markdown documents processed with vulnerable versions. Disable or restrict the use of Markdown Preview Enhanced in untrusted environments until patched.

🔧 خطوات المعالجة (العربية)

قم بترقية Markdown Preview Enhanced إلى الإصدار 0.8.28 أو أحدث فوراً. راجع وتدقيق أي مستندات markdown تمت معالجتها بالإصدارات الضعيفة. عطّل أو قيّد استخدام Markdown Preview Enhanced في البيئات غير الموثوقة حتى يتم تصحيحها.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

A.14.2.1 A.14.2.5

🔵 SAMA CSF

CC-6.1 CC-6.2

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5

🔗 References & Sources 2

🔗

https://github.com/shd101wyy/vscode-markdown-preview-enhanced/releases/tag/0.8.28

disclosure@vulncheck.com

🔗

https://www.vulncheck.com/advisories/markdown-preview-enhanced-arbitrary-code-execution...

disclosure@vulncheck.com

📊 CVSS Score

8.8

/ 10.0 — High

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 Quick Facts

Severity High

CVSS Score8.8

CWECWE-94

EPSS0.07%

Exploit No

Patch ✗ No

Published 2026-06-05

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: HIGH

🏷️ Tags

CWE-94

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-49493

Introduce Yourself

Sign In Required