从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞类型:XSS(跨站脚本攻击) 2. 受影响的版本: - (npm):>=9.3.0 =9.3.0 =9.3.0 =10.0.0 - (npm):>=9.3.0 <= 10.0.4 3. 已修复的版本: - (npm):9.14.2, 10.0.5 - (npm):9.14.2, 10.0.5 - (npm):9.14.2, 10.0.5 - (npm):10.0.5 - (npm):9.14.2, 10.0.5 4. 漏洞描述: - 可以将本地消息传递给 或 。 - 有自己的本地消息语法,并使用消息编译器生成抽象语法树(AST)。 - 在生产构建中,AST 生成的优化性能很高,但存在一个静态属性,可能会被恶意注入。 - 在开发模式或自定义本地消息 AST 时,存在 XSS 漏洞。 5. PoC(Proof of Concept): - 代码示例展示了如何利用原型污染漏洞。 6. 工作绕过: - 在 版本 10.0.0 之前,可以通过使用常规编译( )来绕过此漏洞。 7. 参考链接: - 相关案例:Vue 2 XSS 漏洞与原型污染 - 插件配置 - 的高级优化指南 这些信息可以帮助开发者了解漏洞的性质、受影响的范围以及如何修复或绕过漏洞。