跳转至

Eclipse Theia < 0.16.0 Javascript注入 (CVE-2021-28162)

在Eclipse Theia 0.16.0含以下的版本中,通知消息中没有HTML转义,可以运行Javascript代码,导致Javascript注入。

packages/messages/src/browser/notification-component.tsx:76
<span dangerouslySetInnerHTML={{ __html: message }} onClick={this.onMessageClick} />

复现步骤:

  • 1.创建一个新项目并创建一个新的调试器配置文件 launch.json
  • 2.在type字段中编写Javascript Payload(例如
  • 3.启动调试

复现视频:https://github.com/eclipse-theia/theia/files/4293788/Theia_PoC.zip

ref: