从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞编号:CVE-2024-6783 2. 漏洞类型:Cross-Site Scripting (XSS) 3. 受影响的库:vue-template-compiler 4. 受影响的版本范围:>= 2.0.0 < 3.0.0 5. 漏洞严重性:Medium 6. 漏洞描述: - XSS漏洞存在于Vue 2模板编译器中,该编译器在Vue的“完整构建”中存在。 - XSS攻击发生在攻击者使用Web应用程序发送恶意代码(通常为浏览器侧脚本)到不同终端用户时。 - 攻击者可以使用XSS向无害用户发送恶意脚本。 7. 漏洞细节: - 漏洞存在于Vue版本大于或等于2.0.0且小于3.0.0的版本中。 - 漏洞存在于Vue的内浏览器模板编译器中,该编译器负责将字符串代码转换为可以执行的代码,以便将组件模板解析为渲染函数。 - 这些渲染函数在Vue执行时在字符串化eval语句中执行,允许第三方脚本执行任意代码。 8. 漏洞利用: - 只有特定的属性对客户端XSS漏洞敏感,当扩展Object.prototype时。 - 一个这样的属性是staticClass,它在模板字符串使用 属性与非动态类时被检索。 - 优化措施取决于整个模板字符串,可能触发或不触发此代码路径。 9. 重现步骤: - 使用AST Codegen路径的Vue内浏览器模板编译器依赖于初始未设置的属性。 - 如果这些属性被显式设置为未定义或检查为hasOwnProperty,则原型污染将不可能发生。 - 目前,ASTElement(用于创建codegen节点的主数据结构,用于SSR、内浏览器编译和Vue SFC文件解析)的几乎每个属性都是可选的,可能对这个XSS漏洞敏感。 10. 缓解措施: - Vue 2已达到生命终结。受影响组件的用户应采取以下缓解措施: - 迁移到Vue的新版本。 - 应用自己的补丁。 - 利用商业支持合作伙伴,如HeroDevs,提供EOL后的安全支持。 11. 联系信息: - HeroDevs的联系方式: - 电话:+1 877-586-1965 - 邮箱:hello@herodevs.com - 地址:8850 S 700 E #2437 Sandy, UT 84070 这些信息提供了关于CVE-2024-6783漏洞的详细描述,包括其影响范围、利用方式和缓解措施。