# Eclipse Theia < 0.16.0 Javascript注入 (CVE-2021-28162) 在Eclipse Theia 0.16.0含以下的版本中,通知消息中没有HTML转义,可以运行Javascript代码,导致Javascript注入。 ```
packages/messages/src/browser/notification-component.tsx:76
“`
复现步骤:
* 1.创建一个新项目并创建一个新的调试器配置文件 launch.json
* 2.在type字段中编写Javascript Payload(例如
)
* 3.启动调试
* 3.启动调试
复现视频:https://github.com/eclipse-theia/theia/files/4293788/Theia_PoC.zip
ref:
* https://nvd.nist.gov/vuln/detail/CVE-2021-28162
* https://github.com/eclipse-theia/theia/issues/7283
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容