vue-template-compilerへのセキュリティアラートに対応する

[KentaHizume]

概要

• https://github.com/AlesInfiny/maris/security/dependabot/70

完了条件

• 影響調査の完了
• 対処の完了

[KentaHizume]

volar/vue-langage-core から依存している。

    "node_modules/@volar/vue-language-core": {
      "version": "1.0.24",
      "resolved": "https://registry.npmjs.org/@volar/vue-language-core/-/vue-language-core-1.0.24.tgz",
      "integrity": "sha512-2NTJzSgrwKu6uYwPqLiTMuAzi7fAY3yFy5PJ255bGJc82If0Xr+cW8pC80vpjG0D/aVLmlwAdO4+Ya2BI8GdDg==",
      "dev": true,
      "dependencies": {
        "@volar/language-core": "1.0.24",
        "@volar/source-map": "1.0.24",
        "@vue/compiler-dom": "^3.2.45",
        "@vue/compiler-sfc": "^3.2.45",
        "@vue/reactivity": "^3.2.45",
        "@vue/shared": "^3.2.45",
        "minimatch": "^5.1.1",
        "vue-template-compiler": "^2.7.14"
      }
    },

[KentaHizume]

影響

https://nvd.nist.gov/vuln/detail/CVE-2024-6783
https://ja.herodevs.com/vulnerability-directory/cve-2024-6783---vue-client-side-xss

クロスサイトスクリプティングが可能な脆弱性。
下記のようなコードにおいて、うまくサニタイジングが行われない。

https://stackblitz.com/edit/cve-2024-6783?file=index.html

Object.prototypeを拡張した際に、特定のプロパティにXSS脆弱性が発生する。

Only certain properties are susceptible to Client-side XSS vulnerabilities when extending the Object.prototype.

悪用は難しいと言われている。

https://vuldb.com/?id.272294
The exploitation is known to be difficult.

[KentaHizume]

対処

vue-template-compilerはVue2のコンパイルに使われている

vue-tsc 2.0.29へのバージョンアップで解決する

• Dependency on vulnerable version of vue-template-compiler vuejs/language-tools#4610

差分を確認したところ、
"vue-template-compiler": "^2.7.14"
の代わりに
"@vue/compiler-vue2": "^2.7.16"
を使用するように変更されている。

[tsuna-can-se]

@KentaHizume
#1511
#1513
確かにpackage-lock.jsonに更新が入ってますね。

[KentaHizume]

@tsuna-can-se
こちらのPRについて動作確認のうえ問題なければマージするように対応いたします。