Typora 远程代码执行漏洞

• 漏洞编号：CVE-2023-2317
• 漏洞类型：权限失控(越权)
• 漏洞等级：高危
• 发布时间：2023-08-19

漏洞描述：

Typora是一款由Abner Lee开发的轻量级Markdown编辑器，适用于OS X、Windows和Linux三种操作系统。

Typora远程代码执行漏洞的细节在网上公开。如果用户在 Typora 中打开恶意文件，或从恶意网页复制文本并粘贴到 Typora 中，则会导致恶意代码在本地执行。漏洞编号：CVE-2023-2317，漏洞等级：高危。

在 Windows 及 Linux 上的 Typora 1.6.7 之前版本中，updater/update.html 內存在一个DOM 的 XSS，可用过在标签中加载typora://app/typemark/updater/update.html 的方式，在 Typora主页面的情況下制作 markdown文件，执行任意 JavaScript 代码。

影响版本：

typora<1.6.7

修复建议

厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：

Typora 1.6.7

参考链接:

https://support.typora.io/What's-New-1.6/
https://starlabs.sg/advisories/23/23-2317/