漏洞信息详情
webpack-subresource-integrity 数据伪造问题漏洞
- CNNVD编号:CNNVD-202010-887 <!--
- 危害等级: 低危-->
- 危害等级: 低危
- CVE编号: CVE-2020-15262
- 漏洞类型: 数据伪造问题
- 发布时间: 2020-10-19
- 威胁类型: 远程
- 更新时间: 2020-10-30
- 厂 商:
- 漏洞来源:
-
漏洞简介
webpack-subresource-integrity是个人开发者的一个应用于网站静态文件安全的 npm 扩展库。该库可产生加密的 Hash 编码用于验证浏览器获取的文件(例如从CDN获取)是安全的。
webpack-subresource-integrity 1.5.1之前版本存在安全漏洞,该漏洞源于所有动态加载的区块都会收到一个无效的完整性哈希,浏览器会忽略这个哈希,因此浏览器无法验证它们的完整性。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/waysact/webpack-subresource-integrity/security/advisories/GHSA-4fc4-chg7-h8gh
参考网址
来源:CONFIRM
链接:https://github.com/waysact/webpack-subresource-integrity/security/advisories/GHSA-4fc4-chg7-h8gh
来源:MISC
链接:https://github.com/waysact/webpack-subresource-integrity/commit/3d7090c08c333fcfb10ad9e2d6cf72e2acb7d87f
来源:MISC
链接:https://github.com/waysact/webpack-subresource-integrity/issues/131
来源:nvd.nist.gov
链接:https://nvd.nist.gov/vuln/detail/CVE-2020-15262
受影响实体
暂无
补丁
- webpack-subresource-integrity 数据伪造问题漏洞的修复措施<!--2020-10-19-->
还没有评论,来说两句吧...