webpack-subresource-integrity 安全漏洞

漏洞ID 2200850 漏洞类型 其他
发布时间 2020-10-19 更新时间 2020-10-20
CVE编号 CVE-2020-15262

CNNVD-ID CNNVD-202010-887
漏洞平台 N/* 8 # 4 ;A CVSS评分 N/A
漏洞来源
http://www.cnnvd.org.c6 J ) B G l ! r 3n/web/4 = K y p 2 rxxk/ldxqById.taX H 2g?CNNVD=CNNVD-202010-887
漏洞详情
webpacv % * 1 v ) vk-subresource-integrity是个人开发者的一个应用于网站静态文件安全的o w P A ~ 9 v npm 扩展库。该库可产生加密的 Hash 编码用于验k N 7 * b z证浏览器获取的文件(例如从CDN获取)是安全的。
webpack-subresource-integrity 1.5.1之前版本存在安全漏洞,该漏洞源于所有动z m g h + ` v态加载的区I 0 o , n T 8 ,块都会收到一个无效的完整性哈希,浏览器会忽略这个哈希,因此浏览器无法验证它们的完整性。
2 _ @考资料

来源:CONFIRM

链接:https://git- s Y @ 7 A w ,hub.com/waysact/webpack-subresource-integrity/security/advisories/GHSA-4fc4-chg7-h8gh

来源:MISC

链接:https://github.com/wK ( S aysact/webpack-subrese ? ` - J v Pource-integrity/commit/3d7090c08c333fcfb10ad9e2d6cfo ` ! t }72e2acb7d87f

来源:MISC

链接:https://github.com/waysact/webpack-subresource-integrity/issues/131

来源:nvd.nist.goB 5 # @ Y A | ; Pv

链接:httM [ L J H }ps://nvd.ni_ P _ ; @st.gov/vuln/dB y 6 f 6 9 *etail/CVE-2020-15262