Vulnerabilidad en MDC (CVE-2025-24981)

MDC es una herramienta para tomar Markdown regular y escribir documentos que interactúan profundamente con un componente Vue. En las versiones afectadas, la lógica de análisis insegura de la URL de Markdown puede generar código JavaScript arbitrario debido a una omisión de las protecciones existentes en torno al esquema de protocolo `javascript:` en la URL. La lógica de análisis implementada en `props.ts` mantiene un enfoque de lista de denegación para filtrar el payload malicioso potencial. Lo hace al hacer coincidir esquemas de protocolo como `javascript:` y otros. Estas protecciones de seguridad pueden ser omitidas por un adversario que proporcione URL de JavaScript con entidades HTML codificadas a través de una cadena hexadecimal. Los usuarios que consumen esta librería y realizan análisis de Markdown desde fuentes no validadas podrían generar enlaces de anclaje XSS vulnerables. Esta vulnerabilidad se ha solucionado en la versión 0.13.3 y se recomienda a todos los usuarios que actualicen. No existen workarounds para esta vulnerabilidad.