漏洞概述 漏洞名称: Style Dictionary - Prototype Pollution in convertTokenData utility function 漏洞描述: 该漏洞存在于 包的 工具函数中。 攻击者可以创建一个包含恶意 属性的 token 对象,当此对象被 处理时,会污染全局的 。 具体表现为: 会被转换为 ,导致全局污染。 影响范围 受影响版本: 且 影响场景: - 直接使用 函数。 - 通过 间接使用,如果配置了 选项。 - 通过 SD 的 transform lifecycle 间接使用。 影响程度: - 高:当 作为 Node.js 服务器应用集成时。 - 中:当 作为 Web 应用集成时。 - 低:大多数情况下,用户维护 tokens 并通过只读访问仓库工作流时。 修复方案 补丁版本: 修复方法: - 在 版本中已修复该漏洞。 - 提交哈希: - 相关 PR: 工作区 临时解决方案: - 在将 token 数据传递给 之前,先对其进行清理。 - 使用 DTCC 格式或旧 Style Dictionary 格式时,递归检查 token 数据对象,排除包含 的对象。 - 对于 实例,确保 设置为 ,以防止第二种污染方法的发生。 POC 代码 参考链接 Mozilla Developer Network - Prototype Pollution 与 Claude AI 对话以确定 CVSS v3 评分为 8.8/10,假设最坏情况为服务器集成与 。