关键漏洞信息 漏洞概述 漏洞名称: Source code may be stolen when you access a malicious web site CVE ID: CVE-2023-30359 严重性: 中等 (5.3/10) 受影响版本: =5.2.1 漏洞详情 描述: 当访问恶意网站时,源代码可能被窃取。 原因: 由于经典脚本请求不受同源策略限制,攻击者可以在其站点中注入 并运行脚本。结合原型污染,攻击者可以获取对webpack运行时变量的引用,并通过 方法获取源代码。 影响 CVSS v3 基础指标: - 攻击向量: 网络 - 攻击复杂度: 高 - 特权要求: 无 - 用户交互: 必须 - 范围: 不变 - 机密性影响: 高 - 完整性影响: 无 - 可用性影响: 无 利用方式 (PoC) 1. 下载并解压 2. 运行 3. 运行 4. 打开 5. 在文档和控制台中查看源代码输出 技术细节 使用原型污染攻击 来提取 引用。 利用 方法获取源代码。 影响范围 此漏洞可能导致使用可预测端口和输出路径的用户源代码被窃取。