低危 webpack-subresource-integrity_project webpack-subresource-integrity 对数据真实性的验证不充分
CVE编号
CVE-2020-15262利用情况
暂无补丁情况
官方补丁披露时间
2020-10-20漏洞描述
webpack-subresource-integrity是个人开发者的一个应用于网站静态文件安全的npm扩展库。该库可产生加密的Hash编码用于验证浏览器获取的文件(例如从CDN获取)是安全的。 webpack-subresource-integrity 1.5.1之前版本存在webpack插件漏洞。该漏洞与受影响版本无法验证动态加载的区块的完整性有关。存在所有动态加载的区块都会收到一个无效的完整性哈希,浏览器会忽略这个哈希,因此浏览器无法验证它们的完整性。Webpack插件,用于启用子资源完整性。子资源完整性(SRI)是一项安全功能,使浏览器可以验证是否已交付获取的文件而没有意外的操作。攻击者可利用该漏洞忽略完整性验证,进行恶意攻击。解决建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://github.com/waysact/webpack-subresource-integrity/security/advisories/GHSA-4fc4-chg7-h8gh受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | webpack-subresource-integrity_project | webpack-subresource-integrity | * | Up to (excluding) 1.5.1 | |||||
- 攻击路径 本地
- 攻击复杂度 困难
- 权限要求 管控权限
- 影响范围 有限影响
- EXP成熟度 未验证
- 补丁情况 官方补丁
- 数据保密性 无影响
- 数据完整性 无影响
- 服务器危害 无影响
- 全网数量 N/A
| CWE-ID | 漏洞类型 |
| CWE-345 | 对数据真实性的验证不充分 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论