漏洞概述 该漏洞涉及 插件中的 文件,具体在 版本中。漏洞主要与安全相关,包括: 安全漏洞:阻止暴露主 API 令牌在 Live Assistant 前端配置中。 安全漏洞:限制对研究端点的访问。 安全漏洞:验证并验证 JSON-LD 数据为 JSON。 安全漏洞:始终对验证的 JSON 进行重新编码以阻止存储 XSS。 安全漏洞:备份和恢复排除每个站点的身份验证。 更新:通过 进行克隆检测。 更新:检测克隆安装并要求在重复项上进行新的握手。 更新:使用默认 替换 全局变量。 更新:从本地调试输出中删除令牌和签名。 影响范围 该漏洞影响使用 插件的网站,特别是那些使用 文件的网站。漏洞可能导致以下问题: API 令牌暴露:主 API 令牌可能在 Live Assistant 前端配置中被暴露。 访问控制不足:对研究端点的访问可能未被正确限制。 JSON-LD 数据验证问题:JSON-LD 数据可能未被正确验证和编码,导致存储 XSS 攻击。 身份验证问题:备份和恢复可能未正确排除每个站点的身份验证。 克隆检测问题:克隆安装可能未被正确检测和处理。 全局变量问题: 全局变量可能未被正确替换。 调试输出问题:本地调试输出中可能包含敏感信息如令牌和签名。 修复方案 1. API 令牌保护:确保主 API 令牌不在 Live Assistant 前端配置中暴露。 2. 访问控制:限制对研究端点的访问,确保只有授权用户可以访问。 3. JSON-LD 数据验证:验证并验证 JSON-LD 数据为 JSON,并始终对验证的 JSON 进行重新编码以阻止存储 XSS。 4. 身份验证排除:在备份和恢复过程中排除每个站点的身份验证。 5. 克隆检测:通过 进行克隆检测,并在检测到克隆安装时要求进行新的握手。 6. 全局变量替换:使用默认 替换 全局变量。 7. 调试输出清理:从本地调试输出中删除令牌和签名。 POC 代码 页面中未包含具体的 POC 代码或利用代码。