HSEC-2024-0004 漏洞总结 漏洞概述 Hackage 包和文档上传存储型 XSS 漏洞 漏洞类型: 存储型跨站脚本攻击 (Stored XSS) 受影响组件: 及 网站。 漏洞成因: 用户上传的包文档(HTML/JS)或源码包(Source Tarball)被浏览器直接渲染执行。攻击者利用此漏洞可窃取用户凭据(如上传包、修改元数据等)。 修复状态: 已于 2025 年 1 月通过部署修复。 影响范围 攻击场景: 1. 文档上传: 攻击者上传包含恶意 JS 的文档包,其他用户浏览时触发。 2. 源码包浏览: 攻击者上传包含恶意 HTML/JS 的源码包,用户浏览时触发。 利用方式: 利用浏览器中潜伏的 HTTP 凭据(无需用户交互),执行用户授权的任何操作(如上传恶意包、添加维护者)。 CVSS 评分: 9.9 (Critical) 修复方案 1. 用户内容域名隔离: 将用户上传内容(文档和源码包)重定向到独立的 DNS 域名(如 ),防止跨域窃取凭据。 2. 拒绝未识别的 quick-jump 脚本:** 服务器端校验 和 的 SHA-256 哈希值,仅允许已知安全的版本加载。 POC 代码提取 页面中提供了用于验证 加载的 POC 代码块: