在Eclipse Theia 0.16.0含以下的版本中,通知消息中没有HTML转义,可以运行Javascript代码,导致Javascript注入。
packages/messages/src/browser/notification-component.tsx:76
<span dangerouslySetInnerHTML={{ __html: message }} onClick={this.onMessageClick} />
复现步骤:
- 1.创建一个新项目并创建一个新的调试器配置文件 launch.json
- 2.在type字段中编写Javascript Payload(例如)
- 3.启动调试
复现视频:https://github.com/eclipse-theia/theia/files/4293788/Theia_PoC.zip
ref: