检测

检测到 Polyfill

medium Web App Scanning 插件 ID 114357

语言:

简介

检测到 Polyfill

描述

“polyfill.js”文件是常用的开源库,可用于在评估 JavaScript 代码时确保旧版浏览器的兼容性。从 2024 年 2 月开始,恶意威胁制造者购买了域“polyfill.io”和相关的 GitHub 帐户,以便在至少依赖“cdn.polyfill.io”域的所有 Web 应用程序中注入恶意软件。“polyfill.js”文件不再可信,因为该恶意代码可在其他 CDN 上重新分发,或在不同插件中本地复制。

解决方案

如果 Web 应用程序中嵌入了检测到的文件,立即将其删除,并确保未从任何不受信任的外部源加载该脚本。某些供应商已采取一些缓解措施,以重新编写使用恶意“polyfill.io”域名的内容,或提供安全版本的库。

另见

https://blog.cloudflare.com/automatically-replacing-polyfill-io-links-with-cloudflares-mirror-for-a-safer-internet

https://community.fastly.com/t/new-options-for-polyfill-io-users/2540

https://sansec.io/research/polyfill-supply-chain-attack

插件详情

严重性: Medium

ID: 114357

类型: remote

发布时间: 2024/6/28

最近更新时间: 2025/4/29

扫描模板: basic, full, pci, scan

风险信息

VPR

风险因素: Low

分数: 3.0

CVSS v2

风险因素: Medium

基本分数: 6.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

CVSS 分数来源: CVE-2024-38526

CVSS v3

风险因素: High

基本分数: 7.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L

CVSS 分数来源: CVE-2024-38526

CVSS v4

风险因素: Medium

Base Score: 6.9

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L

CVSS 分数来源: Tenable

漏洞信息

CPE: cpe:2.3:a:mitmproxy:pdoc:*:*:*:*:*:*:*:*

漏洞发布日期: 2024/6/24

参考资料信息

CVE: CVE-2024-38526