Skip to content

[fix] 블록 prototype pollution 기반 Stored XSS 취약점 차단#3073

Merged
Tnks2U merged 1 commit into
developfrom
issue/147
Jun 2, 2026
Merged

[fix] 블록 prototype pollution 기반 Stored XSS 취약점 차단#3073
Tnks2U merged 1 commit into
developfrom
issue/147

Conversation

@kimorkim

@kimorkim kimorkim commented May 29, 2026

Copy link
Copy Markdown
Collaborator

특정 코드가 포함된 작품 실행 시 prototype pollution을 이용해 Stored XSS가 실행될 수 있는 취약점을 다계층으로 차단한다.

  • Entry.Scope.filterReservedKeywords: 키로 사용 시 "proto"로 강제 변환되는 배열/객체 형태(예: ["proto"])까지 차단하도록 보강
  • block_KKMOO: kkmoo_set_frame_time / kkmoo_set_frame / kkmoo_set_motor_degree의 bracket-write 싱크에 정수 인덱스 범위 검증 추가 (NaN/범위초과 키 거부)
  • 하드웨어 5종(davinci/microbit/armz/asomebot/asomekit): _merge(Entry.hw.sendQueue, {[blockId]: data})를 직접 대입으로 교체해 lodash merge의 prototype write-through 가젯 제거. blockId가 매번 고유 해시라 동작은 동일. (asomebot/asomekit는 lodash 미import로 ReferenceError 상태이던 잠재 버그도 수리)
  • lodash 의존성 플로어를 ^4.17.21로 상향해 merge/set 내부 가드가 항상 보장되도록 함

@claude
[fix] 블록 prototype pollution 기반 Stored XSS 취약점 차단
668c3d6 
특정 코드가 포함된 작품 실행 시 prototype pollution을 이용해 Stored XSS가
실행될 수 있는 취약점을 다계층으로 차단한다.

- Entry.Scope.filterReservedKeywords: 키로 사용 시 "__proto__"로 강제 변환되는
  배열/객체 형태(예: ["__proto__"])까지 차단하도록 보강
- block_KKMOO: kkmoo_set_frame_time / kkmoo_set_frame / kkmoo_set_motor_degree의
  bracket-write 싱크에 정수 인덱스 범위 검증 추가 (NaN/범위초과 키 거부)
- 하드웨어 5종(davinci/microbit/armz/asomebot/asomekit): _merge(Entry.hw.sendQueue,
  {[blockId]: data})를 직접 대입으로 교체해 lodash merge의 prototype write-through
  가젯 제거. blockId가 매번 고유 해시라 동작은 동일.
  (asomebot/asomekit는 lodash 미import로 ReferenceError 상태이던 잠재 버그도 수리)
- lodash 의존성 플로어를 ^4.17.21로 상향해 merge/set 내부 가드가 항상 보장되도록 함

Co-Authored-By: Claude Opus 4.8 (1M context) <noreply@anthropic.com>
@github-actions github-actions Bot added the issue 내부 이슈 처리를 위한 PR label May 29, 2026
@kimorkim kimorkim requested review from Tnks2U, chanlee and prisml May 29, 2026 08:38
@Tnks2U

Tnks2U commented Jun 2, 2026

Copy link
Copy Markdown
Collaborator

@kimorkim

  1. _merge(Entry.hw.sendQueue, {
    [blockId]: data,
    });
  2. Entry.hw.sendQueue[blockId] = data;

sendQueue[blockId]에 기존에 값이 있을 경우 동작이 달라져서, 이부분은 샘플로 테스트하면서 체크해 보겠습니다.

@Tnks2U Tnks2U merged commit 4d9a3dc into develop Jun 2, 2026
2 checks passed
@idiotf idiotf mentioned this pull request Jun 2, 2026
Open
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

@chanlee chanlee chanlee approved these changes

@prisml prisml Awaiting requested review from prisml

@Tnks2U Tnks2U Awaiting requested review from Tnks2U

Assignees

No one assigned

Labels

issue 내부 이슈 처리를 위한 PR

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

3 participants

@kimorkim @Tnks2U @chanlee