文章总结： 安全公司OXSecurity在VSCode插件MarkdownPreviewEnhanced中发现高危漏洞CVE-2025-65716，该漏洞允许恶意构造的Markdown文件在预览时执行任意JavaScript代码，攻击者可借此扫描本地网络、收集系统信息并外泄数据。由于插件广泛用于开发环境，建议用户暂时避免用它预览来源不明的Markdown文件。 综合评分： 78 文章分类： 漏洞预警,应用安全,恶意软件,渗透测试

Markdown Preview Enhanced 打开恶意文件可执行任意 JavaScript（CVE-2025-65716）

幻泉之洲

2026年2月27日 09:43 北京

安全公司 OX Security 在热门 VS Code 插件 Markdown Preview Enhanced 中发现一个高危漏洞。当用户用这个插件预览恶意构造的 Markdown 文件时，文件中的代码可直接在预览页面执行，从而扫描用户本机网络并外泄数据。

漏洞详情

安全研究人员发现的这个漏洞编号为 CVE-2025-65716，评级为高危。它影响 Markdown Preview Enhanced 这个 VS Code 扩展的所有版本。利用这个漏洞，攻击者能够实现远程代码执行，完全控制受害者的系统。

Markdown Preview Enhanced 是一个很流行的插件，它能让 Markdown 的写作体验更好。比如写的时候可以实时预览，支持画图、公式排版，还能把文档导出成各种格式，对技术写作和文档工作帮助很大。

攻击能做什么

问题出在插件预览 Markdown 文件时处理 HTML 标签的方式上。我们发现，通过特殊构造的 Markdown 文件，可以在预览环境里直接运行任意的 JavaScript 代码。由于运行环境能访问本地网络，攻击脚本就能干以下几件事：

• 扫描本地网络里都开了哪些端口。
• 根据找到的端口和服务，判断你机器上跑着什么软件，为下一步攻击做准备。
• 收集你的系统信息，比如用的什么操作系统、装了哪些软件、环境变量是什么，给攻击者建立一个详细的“档案”。

漏洞原理

这个插件原本是用来渲染 Markdown 内容的。但如果 Markdown 文件里包含了特定的攻击代码，插件会把它放进一个 iframe 里渲染，这就给了嵌入的 JavaScript 执行的机会。

这个配置让攻击者可以在预览环境中执行任意 JavaScript，而且拥有同源策略下的特权。从插件的源代码里也能找到对应的部分。

在 Markdown Preview Enhanced 里打开一个包含以下内容的恶意文件:

就可以触发对本机端口的扫描，并把扫描结果发送到攻击者控制的远程服务器上。

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

幻泉之洲已关注

分享视频

，时长00:26

0/0

00:00/00:26

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:26

00:26

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

Markdown Preview Enhanced 打开恶意文件可执行任意 JavaScript（CVE-2025-65716）

观看更多

转载

,

Markdown Preview Enhanced 打开恶意文件可执行任意 JavaScript（CVE-2025-65716）

幻泉之洲已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

写在最后

说实话，这种在预览插件里能直接执行代码的漏洞挺危险的，尤其它还是一个开发工具，很多程序员每天都在用。目前官方应该还没发布修复补丁，如果你在用这个插件，暂时先别用它预览来路不明的 Markdown 文件比较稳妥。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：幻泉之洲 《Markdown Preview Enhanced 打开恶意文件可执行任意 JavaScript（CVE-2025-65716）》