漏洞概述 该漏洞涉及 插件的 文件,具体在 版本中。漏洞主要与安全相关,包括: 1. 安全漏洞:阻止暴露主 API 令牌在 Live Assistant 前端配置中。 2. 安全漏洞:限制 到允许的端点列表。 3. 安全漏洞: 白名单检查主密钥并验证 JSON-LD 数据为 JSON。 4. 安全漏洞:JSON-LD 输出始终从验证的 JSON 中重新编码以阻止存储 XSS。 5. 安全漏洞:设置备份和恢复排除每个站点身份验证。 6. 更新:HMAC 签名 API 请求使用 per-site 密钥。 7. 更新:通过 克隆检测签名云回调。 8. 更新:检测克隆安装并要求新的握手以进行重复。 9. 更新:用 替换全局与 ,使用默认的 算法。 10. 更新:从本地调试输出中删除令牌和签名。 影响范围 该漏洞影响使用 插件的网站,特别是那些使用 Live Assistant 前端配置、API 令牌、JSON-LD 数据、设置备份和恢复、HMAC 签名 API 请求、克隆检测、 和调试输出的用户。 修复方案 1. 阻止暴露主 API 令牌:确保主 API 令牌不在 Live Assistant 前端配置中暴露。 2. 限制 :将 限制到允许的端点列表。 3. 验证 JSON-LD 数据:在 中检查主密钥并验证 JSON-LD 数据为 JSON。 4. 重新编码 JSON-LD 输出:确保 JSON-LD 输出始终从验证的 JSON 中重新编码以阻止存储 XSS。 5. 排除身份验证:在设置备份和恢复中排除每个站点身份验证。 6. 使用 per-site 密钥:使用 per-site 密钥对 HMAC 签名 API 请求进行签名。 7. 克隆检测:通过 进行克隆检测签名云回调。 8. 检测克隆安装:检测克隆安装并要求新的握手以进行重复。 9. 替换 :用 替换全局与 ,使用默认的 算法。 10. 删除令牌和签名:从本地调试输出中删除令牌和签名。 POC 代码 由于页面中未提供具体的 POC 代码,因此无法提取。