Vant组件库遭恶意代码攻击-官方紧急发布安全升级版本

Vant组件库遭恶意代码攻击-官方紧急发布安全升级版本

作者:news 发表时间:2025-08-06
Steelcase股价飙升60%,这家办公家具公司同意被收购 瑞士准备向美国提出更具吸引力的贸易提议这么做真的好么? 震有科技实控人折价引入致远资本 后者同一模式连续出手官方通报 股市直播|机构、北向资金同时大幅出逃这只股!这么做真的好么? 特朗普的数字之战:当就业数据挑战总统叙事这么做真的好么? 伯克希尔跌3.2% 盈利下滑且未进行股票回购,令投资者失望反转来了 军工强势领涨!A股本周怎么走?秒懂 NCE平台:纳米比亚深海油气开发加速 Steelcase股价飙升60%,这家办公家具公司同意被收购 百度计划通过与Lyft的合作将其自动驾驶出租车拓展至欧洲 爱马仕股权迷局:最大个人股东出局,百亿股权离奇失踪|贵圈 爱马仕股权迷局:最大个人股东出局,百亿股权离奇失踪|贵圈 NCE平台:纳米比亚深海油气开发加速这么做真的好么? 美联储和统计局面临“大换血”风险!美元暴跌只是个开始? 欧盟将把对美贸易反制措施暂停六个月实施 二季度偿付能力“体检”:5家不达标 提升偿付能力有何妙招 立新能源:上半年归母净利润895.17万元,同比下降90.17%是真的? 称项目兜底补偿款被拖欠,金达莱子公司向地方政府索赔超4000万元后续来了 “连锁火锅第一股”呷哺呷哺再报亏损:预计上半年净亏损约0.8亿元至1亿元官方已经证实 贝因美:8月4日回购公司股份486400股是真的? 财经夜行线0804丨美联储理事辞职、劳工统计局局长被解雇 美国经济人事“地震”影响几何?后续反转 集泰股份:累计回购公司股份80万股专家已经证实 OPEC+增产导致原油价格下挫,但俄伊断供危机潜伏,后市或有翻涨机会?实时报道 Rivian二季报前瞻:R2车型量产会否错过窗口期?后续会怎么发展 联创光电:7月份公司未回购股份官方通报 军信股份:公司尚未开始实施回购 中天期货:螺纹调整企稳 玻璃继续回调秒懂 巴斯夫发布2025年Q2财务数据&全年预期,释放哪些信号? 巴斯夫发布2025年Q2财务数据&全年预期,释放哪些信号? 设备智能运维新实践这么做真的好么? 实测是真的 碧兴物联:股东碧水源累计减持18万股 持股降至12%太强大了 预告:国新办8月7日举行国务院政策例行吹风会 介绍逐步推行免费学前教育政策有关情况后续反转 高层重拳“反内卷”,光伏、汽车领涨,创业板综指有望困境反转!官方处理结果 农业银行:500亿元总损失吸收能力非资本债券发行完毕后续反转 站稳百亿营收,产线满负荷运转,功率半导体IDM龙头士兰微下一个增长极藏在哪? 丽珠集团回购7.21万股 金额300万元科技水平又一个里程碑 陈四清专栏(第4期)|龙国式现代化与国有商业银行的责任官方通报来了 长虹华意:2025年半年度净利润约2.57亿元,同比增加13.42%官方通报 【转载】贷款贴息政策惠企利民 多家银行快速响应官方通报 丽珠集团回购7.21万股 金额300万元后续反转来了 工商企业PCA舆情7月第5期:广西国控集团:柳工集团等2家企业各80%股权、广西投资集团等9家企业各33%股权被无偿转至本公司是真的? 极米科技筹划赴港上市 站稳百亿营收,产线满负荷运转,功率半导体IDM龙头士兰微下一个增长极藏在哪?最新进展 设备智能运维新实践

近日,有赞开源的移动端Vue组件库Vant遭遇了一次安全事件,该事件由团队成员的npm token被盗用引发。12月19日,Vant的维护者在GitHub上发布了公告,紧急通报了这一情况,并指出多个版本因被注入恶意脚本代码而受到影响。

据维护者透露,此次安全问题的源头并非Vant本身存在漏洞,而是由于另一个GitHub组织中的GitHub Actions workflow存在Pwn Request漏洞。攻击者通过这一漏洞获得了workflow中的token,并利用该token的多组织贡献权限,进一步窃取了其他GitHub组织workflows中的token,最终成功获取了Vant与Rspack的npm token。

在发现安全问题后,官方迅速采取了行动,废弃了所有受影响的版本,并发布了最新的安全版本。维护者强调,目前所有相关的token和源头workflow漏洞都已经得到了处理,用户可以放心使用最新版本。

具体来说,官方紧急废弃了以下版本,并提醒用户切勿使用:4.9.14、4.9.13、4.9.12、4.9.11、3.6.15、3.6.14、3.6.13、2.13.5、2.13.4和2.13.3。同时,官方团队发布了新的安全版本,包括4.9.15、3.6.16和2.13.6,npm的latest tag也已经指向了这些新版本。

Vant组件库遭恶意代码攻击

Vant是由有赞前端团队开发和维护的轻量级、可靠的移动端Vue组件库。自2017年开源以来,它一直受到广大开发者的青睐,提供了一整套UI基础组件和业务组件,帮助开发者快速搭建出风格统一的移动端页面,并显著提升开发效率。Vant不仅支持Vue 2和Vue 3版本,还提供了微信小程序版本,由社区团队维护React版本和支付宝小程序版本。

对于此次安全事件,有赞团队表示将进一步加强安全防范措施,确保类似问题不再发生。同时,他们也提醒广大开发者在使用开源组件库时,要注意关注官方公告,及时更新到最新版本,以确保应用的安全性。

Vant组件库遭恶意代码攻击

有赞团队还建议开发者在使用npm等包管理工具时,要注意保护好自己的token等敏感信息,避免被不法分子利用。只有共同努力,才能构建一个更加安全、可靠的开源生态环境。

相关文章