md-to-pdfにCVSSスコア10.0の脆弱性 急ぎアップデートを：セキュリティニュースアラート

MarkdownからPDFを生成するコマンドラインツール「md-to-pdf」において、CVSSスコア10.0の脆弱性が見つかった。急ぎ対応が求められる。

[後藤大地，ITmedia]

　「Markdown to PDF」の開発者は2025年11月20日（現地時間）、「md-to-pdf」における重大な欠陥を公表した。

　Markdown to PDFは、MarkdownからPDFを生成する簡潔で扱いやすいコマンドラインツールだ。MarkdownをHTMLに変換する段階に「Marked」を使い、加えて「Puppeteer」を利用してPDFを作成する仕組みを備えている。コードハイライトやfront-matter設定も取り入れられ、必要に応じてカスタマイズできる構造を持つ。このツールにCVSSスコア10.0の脆弱（ぜいじゃく）性が見つかった。

md-to-pdfにCVSSスコア10.0の脆弱性　急ぎ対処を

　今回の脆弱性はCVSSスコアで10.0と評価されている。front-matter解析処理に内包される機能が特定の区切り記法を受け取った際、外部入力を基点とする動作を起こす点に起因する。細工されている記述が渡されている場合、変換処理中の環境に深刻な危険が及ぶ事態が確認されているという。

　修正版は既に提供されており、運用環境で不審な入力を扱う場合は早急な更新が推奨されている。攻撃が成立すると、変換処理をする側の制御が奪われる可能性が高まるため、開発者は影響範囲の確認と防護策の適用を強く促している。