Typora是一款由Abner Lee開發(fā)的國產(chǎn)輕量級Markdown 編輯器，可跨平臺使用，與其他Markdown編輯器不同的是，Typora沒有采用源代碼和預覽雙欄顯示的方式，而是采用所見即所得的編輯方式，實現(xiàn)了即時預覽的功能，但也可切換至源代碼編輯模式。

1、影響產(chǎn)品或組件及版本

Typora版本＜v1.6.7

2、利用過程及結果

1）首先打開1.6.7以下版本的Typora編輯器，并將下列POC腳本復制到新建的MD文檔中，在腳本最后一個字符后換行觸發(fā)XSS(其觸發(fā)后會自動隱藏)，并彈出計算器即可驗證漏洞存在

2）將惡意腳本POC（見POC附件）復制到編輯器文件中，需要注意腳本上面不能有空行，在腳本最后一個字符后回車，等其消失并彈出計算器即可驗證。