漏洞描述
BootCDN是免费的前端开源项目 CDN 加速服务,通过同步cdnjs仓库,提供了常用javascript组件的CDN服务。
多个开发者发现在特定请求中(如特定Referer及移动端user-agent)会返回包含指向union.macoms.la地址的恶意js文件,导致加载云端控制的广告内容。
建议开发者谨慎使用BootCDN,添加SRI防止CDN劫持js文件。
参考链接:https://www.v2ex.com/t/950163
| 漏洞名称 | BootCDN 投毒风险 |
|---|---|
| 漏洞类型 | 内嵌恶意代码 |
| 发现时间 | 2023/6/20 |
| 漏洞影响广度 | 一般 |
| MPS编号 | MPS-zw9i-1xkb |
| CVE编号 | - |
| CNVD编号 | - |
影响范围
https://cdn.bootcss.com/highlight.js/9.7.0/highlight.min.js@[9.7.0, 9.7.0]
https://cdn.bootcdn.net/ajax/libs/react/18.2.0/cjs/react-jsx-dev-runtime.development.js@[18.2.0, 18.2.0]
修复方案
不使用BootCDN或添加SRI
参考链接
https://www.oscs1024.com/hd/MPS-zw9i-1xkb
https://www.v2ex.com/t/950163
https://www.cnblogs.com/ADSZ/p/17465009.html
https://blog.csdn.net/xd_12138/article/details/130719483
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj
产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅:https://www.oscs1024.com/cm/?sf=qbyj
