Eclipse Theia < 0.16.0 Javascript注入 (CVE-2021-28162)¶

在Eclipse Theia 0.16.0含以下的版本中，通知消息中没有HTML转义，可以运行Javascript代码，导致Javascript注入。

packages/messages/src/browser/notification-component.tsx:76
<span dangerouslySetInnerHTML={{ __html: message }} onClick={this.onMessageClick} />

复现步骤：

• 1.创建一个新项目并创建一个新的调试器配置文件 launch.json
• 2.在type字段中编写Javascript Payload（例如
  ）
• 3.启动调试

复现视频：https://github.com/eclipse-theia/theia/files/4293788/Theia_PoC.zip

ref：

• https://nvd.nist.gov/vuln/detail/CVE-2021-28162
• https://github.com/eclipse-theia/theia/issues/7283