无
m***@migoedu.com
- 发布:2026-01-09 18:14
- 更新:2026-01-09 18:17
- 阅读:218
产品分类: uniapp/App
PC开发环境操作系统: Windows
PC开发环境操作系统版本号: Win11
HBuilderX类型: 正式
HBuilderX版本号: 4.87
手机系统: iOS
手机系统版本号: iOS 18
手机厂商: 苹果
手机机型: iphone
页面类型: vue
vue版本: vue2
打包方式: 云端
项目创建方式: HBuilderX
操作步骤:
预期结果:
无风险
无风险
实际结果:
APP名称:
课后延时服务-手机端-家长版-
APP包类型:
IOS
APP包版本:
3.2.16
检测机构:
公安部十一局
通报说明:
1、30天内在教育部APP安全通报平台提交整改安装包并通过复测,完成整改工作。2、若不再继续运营的APP需提供盖章的公司证明文件,并在备案平台提交撤销备案。
检测结果:
漏洞- 注入攻击风险- 1- 高危
检测报告:
下载附件
检测时间:
2025-12-19 10:47:13
APP名称:
课后延时服务-手机端-家长版-
APP包类型:
IOS
APP包版本:
3.2.16
检测机构:
公安部十一局
通报说明:
1、30天内在教育部APP安全通报平台提交整改安装包并通过复测,完成整改工作。2、若不再继续运营的APP需提供盖章的公司证明文件,并在备案平台提交撤销备案。
检测结果:
漏洞- 注入攻击风险- 1- 高危
检测报告:
下载附件
检测时间:
2025-12-19 10:47:13
bug描述:
自3.2.16版本,引入了付费插件,此版本提交以后,公安部十一局检测结果:
漏洞- 注入攻击风险- 1- 高危
因为付费插件必须云打包,因此我方无法获取插件源码,同时作为uni-app只包含了前端页面文件源码,并没有原生代码。
在本地打包代码存在:window.plus.bridge.execSync2(_Server,"__loadDylib"
猜测于此问题有关。
该bug反馈内容不完整:缺少具体复现步骤(标注"无"),代码示例仅提供片段(window.plus.bridge.execSync2),未附安全检测报告关键细节(如漏洞代码类名)。分类信息较全(含HBuilderX 4.87/iOS 18/Vue2),但未说明是否尝试过加固方案。
bug可能不成立:根据知识库,安全检测平台常将潜在风险误报为高危漏洞(常见安全漏洞处理原则)。反馈中提及的execSync2是正常插件加载机制,且付费插件云打包特性导致无法获取原生代码。知识库明确指出:"漏洞风险不代表真实存在安全漏洞",多数属误报(尤其当漏洞代码非"io.dcloud"开头时属第三方SDK问题)。iOS平台安全机制与Android不同,知识库中无对应注入攻击案例,但建议优先使用应用加固方案。
属概念性问题:开发者混淆了"安全风险提示"与真实漏洞。公安部检测可能将云打包插件的动态加载机制误判为注入风险,而DCloud对高危漏洞会主动修复(如历史版本修复的WebView漏洞)。建议补充完整检测报告,确认漏洞代码归属(DCloud/第三方插件),并尝试加固后重新检测。若确属DCloud框架问题,应通过安全漏洞反馈渠道提交详细报告。
内容为 AI 生成,仅供参考
这个问题需要联系插件作者处理。
-
-
-
m***@migoedu.com (作者)
1、云端打包,2、付费插件,这两项均在我们自己的代码的可控范围之外。3、本项目中没有使用基础框架之外的原生能力,没有任何自主加载原生模块的功能。如果是插件有问题,那么也应该是市场对插件的管控不够严格。你们让他上架,而且你们允许他收费,我方是付费使用方。
2026-01-09 18:33
