Typora是一款由Abner Lee開發(fā)的國產(chǎn)輕量級(jí)Markdown 編輯器，可跨平臺(tái)使用，與其他Markdown編輯器不同的是，Typora沒有采用源代碼和預(yù)覽雙欄顯示的方式，而是采用所見即所得的編輯方式，實(shí)現(xiàn)了即時(shí)預(yù)覽的功能，但也可切換至源代碼編輯模式。

1、影響產(chǎn)品或組件及版本

Typora版本＜v1.6.7

2、利用過程及結(jié)果

1）首先打開1.6.7以下版本的Typora編輯器，并將下列POC腳本復(fù)制到新建的MD文檔中，在腳本最后一個(gè)字符后換行觸發(fā)XSS(其觸發(fā)后會(huì)自動(dòng)隱藏)，并彈出計(jì)算器即可驗(yàn)證漏洞存在

2）將惡意腳本POC（見POC附件）復(fù)制到編輯器文件中，需要注意腳本上面不能有空行，在腳本最后一個(gè)字符后回車，等其消失并彈出計(jì)算器即可驗(yàn)證。