发布日期：2025-12-01
更新日期：2026-06-16

受影响系统：

mdast-util-to-hast mdast-util-to-hast >= 13.0.0 < 13.2.1

描述：

---

CVE(CAN) ID: CVE-2025-66400

mdast-util-to-hast是syntax-tree开源的一个将mdast转化为has的实用程序。
mdast-util-to-hast 13.0.0至13.2.1之前版本存在输入验证错误漏洞，攻击者可利用该漏洞通过字符引用在markdown源中添加多个类名称，使呈现的用户提供的markdown代码元素像页面的其余部分。

<**>

建议：

---

厂商补丁：

mdast-util-to-hast
------------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/syntax-tree/mdast-util-to-hast/commit/6fc783ae6abdeb798fd5a68e7f3f21411dde7403

浏览次数：34
严重程度：0（网友投票）