兩張來源不明的截圖今日在業內被廣泛傳播,其內容是國家有關部門要求境內黨政機關和重要企事業單位對兩款開源專案 SonarQube 和 Vue.js 的使用情況進行組織排查,重點是政府服務平臺。原因是有關部門通報境外駭客正在組織利用 SonarQube 和 Vue.js 對上述單位實施網路攻擊探測。
Vue.js 創始人尤雨溪獲悉此事後,,他表示 Vue 對於安全問題十分重視,但他們近期並沒有收到漏洞報告。而且截圖中提到的漏洞是純粹的後端 API 鑑權漏洞,跟前端和 Vue 沒有任何關係。除此之外,他們沒有找到任何關於 Vue 的漏洞披露。公開的 CVE 資料庫中目前也沒有任何針對 Vue.js 本身的漏洞。而且 Vue 作為開源專案,又是以 JavaScript 原始碼形式釋出的前端專案,每一行程式碼都公開接受任何安全審計。Vue 2 釋出至今已經 5 年多,在全球業界被廣泛使用,期間從未有被發現過真正意義上的安全漏洞。
尤雨溪在迴應中指出「前端框架無法被駭客用於滲透」,解釋了 XSS 攻擊手段,同時對過往關於 Vue.js 的一些「漏洞」報告也進行了說明——主要原因是開發者將使用者上傳的任意 HTML 內容當作 Vue 模版或是 v-html 資料使用。而這種做法無論是否使用了 Vue 都會導致 XSS。
最後尤雨溪說道,Vue 本身並不存在任何安全性問題。也因此,他們對於 Vue 被列入排查感到很困惑,如果知道詳情或是漏洞細節的朋友,可發郵件到 [email protected] 通知 Vue.js 團隊。
根據在網上的公開資訊,近期能找到的是 2021 年 11 月關於 SonarQube 漏洞的報道: