漏洞总结 漏洞概述 漏洞名称: 未授权工作区通道阴影(Untrusted Workspace Channel Shadows) 漏洞描述: 在设置解析期间,未授权的工作区通道条目可能会覆盖内置通道条目。这些条目仅在设置时有效,并且插件已明确信任。 修复内容: - 在设置解析期间忽略未授权的工作区通道插件,以防止覆盖内置通道条目。 - 跟踪发现的工作区通道条目,并添加一个设置时目录查找,以排除工作区发现。 - 添加回归覆盖,以覆盖未授权的工作区通道条目和未授权的工作区覆盖。 影响范围 影响组件: 和 影响功能: 通道插件的解析和安装过程 修复方案 代码修改: - 在 中,添加了 选项,用于排除工作区通道条目。 - 在 中,添加了 函数,用于检查通道条目是否为受信任的工作区通道条目。 - 在 中,修改了 函数,以排除未授权的工作区通道条目。 POC代码