如果你的网页或移动应用依赖流畅、友好的触控界面,那么你极有可能正在使用 Swiper。
Swiper 被公认为免费且现代化的移动端触控轮播组件,支持硬件加速过渡与原生级体验,是移动端网站、Web 应用、原生 / 混合应用的核心基础组件。然而,新近公开的一项高危漏洞,正迫使全球开发者紧急修补其软件供应链。
漏洞影响 npm 包 swiper 中范围极广的版本:
>=6.5.1,<12.1.2
该漏洞尤为值得关注的点在于:它绕过了此前的安全修复。
官方公告指出:
“尽管此前已通过检查用户输入是否包含禁用键来尝试缓解原型污染,但攻击者仍可通过构造基于 Array.prototype 的输入,实现对 Object.prototype 的污染。”
该漏洞的根本原因已定位到特定工具类文件:
“漏洞位于 shared/utils.mjs 的第 94 行,代码使用 indexOf() 检查用户输入是否包含禁用字符串,但校验逻辑存在缺陷。”
研究人员确认:该漏洞在 Windows、Linux 系统,以及 Node、Bun 运行时中均能利用,影响范围极广。
原型污染是一类极其隐蔽且危险的漏洞,其最终影响范围高度依赖应用所处的整体环境。
安全报告警告:
任何使用该组件处理攻击者可控输入的应用,都可能受到影响。
-
认证绕过
通过污染原型链,攻击者可暗中篡改应用内身份认证与权限校验逻辑。
-
拒绝服务(DoS)
攻击者可直接导致应用崩溃。报告说明:即便无法直接在 Swiper 中利用原型污染,若项目其他依赖存在原型污染,修改全局
Array.prototype.indexOf后,当调用swiper.default.extendDefaults时,也会因 Swiper 依赖该全局属性而直接崩溃。 -
远程代码执行(RCE)
这是最严重的后果。若被污染的属性被传入
eval、child_process等危险执行点,攻击者可实现完整远程代码执行,进而接管目标系统。
鉴于 Swiper 在现代网页与移动应用中覆盖面极大,安全团队必须迅速行动以封堵该攻击面。
组件维护方已修复该问题,12.1.2 及以上版本已完成安全加固。
官方强烈建议开发团队立即审计依赖树,并将 swiper 升级至最新安全版本,以避免可能造成的严重安全入侵。
发表评论
您还未登录,请先登录。
登录