[研究]Bootstrap 3.4.1弱點漫談
2026-06-17
NVD 是國家漏洞數據庫(National Vulnerability Database),由NIST (美國國家標準暨技術研究院)所維護的一個項目。
曾經發生記錄過的 Bootstrap 3.4.1 弱點
********************************************************************************
CVE-2024-6484
Published: 2024-07-11Rejected: 2025-08-01
https://nvd.nist.gov/vuln/detail/CVE-2024-6484
Rejected
This CVE has been marked Rejected in the CVE List. These CVEs are stored in the NVD, but do not show up in search results by default.
此 CVE 已在 CVE 清單中標記為「已拒絕」。這些 CVE 儲存在 NVD 中,但預設不會顯示在搜尋結果中。
https://www.cve.org/CVERecord?id=CVE-2024-6484
This was not a security issue in Bootstrap. Bootstrap’s JavaScript is not intended to sanitize unsafe or intentionally dangerous HTML. As such, the reported behavior fell outside the scope of Bootstrap’s security model, and the associated CVE has been rescinded.
這並非 Bootstrap 的安全問題。 Bootstrap 的 JavaScript 程式碼並非要清理不安全或故意包含危險程式碼的 HTML 內容。因此,所報告的行為超出了 Bootstrap 安全模型的範圍,相關的 CVE 編號已被撤銷。
********************************************************************************
CVE-2024-6485
https://nvd.nist.gov/vuln/detail/CVE-2024-6485
https://www.cve.org/CVERecord?id=CVE-2024-6485
A security vulnerability has been discovered in bootstrap that could enable Cross-Site Scripting (XSS) attacks. The vulnerability is associated with the data-loading-text attribute within the button plugin. This vulnerability can be exploited by injecting malicious JavaScript code into the attribute, which would then be executed when the button's loading state is triggered.
Bootstrap 中發現了一個安全漏洞,可能導致跨站腳本攻擊 (XSS)。該漏洞與按鈕插件中的 data-loading-text 屬性有關。攻擊者可以透過向該屬性注入惡意 JavaScript 程式碼來利用此漏洞,當按鈕進入載入狀態時,這些程式碼將被執行。
目前 NVD 列為
Not Scheduled
This CVE record is not being prioritized for NVD enrichment efforts due to resource or other concerns.
(由於資源或其他方面的考慮,該 CVE 記錄不會被優先納入 NVD 增強工作。)
攻擊成立通常需要同時滿足:
* 使用受影響的 Bootstrap 版本。
* 頁面存在 data-loading-text 屬性。
* 該屬性的內容可被攻擊者控制。
* 程式呼叫按鈕 Loading 功能(例如 .button('loading'))。
* Bootstrap 將內容寫入 DOM 時未適當處理。
-----
若查不到,報告建議可寫
經程式碼檢查,專案未使用 Bootstrap Button Plugin 的 data-loading-text 功能,亦未呼叫 button('loading') API,因此 CVE-2024-6485 所描述之攻擊路徑不存在,評估為 Not Exploitable(不可利用)。
********************************************************************************
CVE-2024-6531
https://nvd.nist.gov/vuln/detail/CVE-2024-6531
NVD Published Date: 07/11/2024
NVD Last Modified: 08/01/2025
Rejected
This CVE has been marked Rejected in the CVE List. These CVEs are stored in the NVD, but do not show up in search results by default.
此 CVE 已在 CVE 清單中標記為「已拒絕」。這些 CVE 儲存在 NVD 中,但預設不會顯示在搜尋結果中。
https://www.cve.org/CVERecord?id=CVE-2024-6531
********************************************************************************
CVE-2025-1647
https://nvd.nist.gov/vuln/detail/CVE-2025-1647
Not Scheduled
This CVE record is not being prioritized for NVD enrichment efforts due to resource or other concerns.
(由於資源或其他方面的考慮,該 CVE 記錄不會被優先納入 NVD 增強工作。)
https://www.cve.org/CVERecord?id=CVE-2025-1647
Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') vulnerability in Bootstrap allows Cross-Site Scripting (XSS).This issue affects Bootstrap: from 3.4.1 before 4.0.0.
Bootstrap 中存在網頁產生期間輸入處理不當(XSS 或「跨站腳本」)漏洞,允許跨站腳本攻擊 (XSS)。此問題影響 Bootstrap:4.0.0 之前的 3.4.1 版本。
https://www.herodevs.com/vulnerability-directory/cve-2025-1647?nes-for-bootstrap
This Medium-severity vulnerability is found in the Popover and Tooltip components of Bootstrap in versions greater than or equal to 3.4.1 and less than 4.0.0.
對 ASP.NET WebForm,CVE-2025-1647 要成功利用,通常至少需要:
* 使用 Bootstrap 3.4.1 的 Tooltip 或 Popover。
* 設定 html:true。
* 攻擊者能控制 Tooltip/Popover 內容或頁面 HTML。
* 輸入未經 HtmlEncode。
* 攻擊者能注入造成 DOM Clobbering 的 HTML 元素。
* 瀏覽器成功讓 sanitizeHtml() 失效。
* 最後再注入可執行 JavaScript 的內容。
-----
若查無,報告建議可寫
CVE-2025-1647 影響 Bootstrap Tooltip 與 Popover 元件。
經檢視本系統原始碼:
1.系統引用 Bootstrap 3.4.1。
2,全專案搜尋結果未發現 Tooltip 元件相關使用方式:
* tooltip()
* data-toggle="tooltip"
3.全專案搜尋結果未發現 Popover 元件相關使用方式:
* popover()
* data-toggle="popover"
4.未發現 html 或 data-html="true" 等設定。
5.因未使用受影響元件,CVE-2025-1647 所描述之 sanitizeHtml() DOM Clobbering 攻擊路徑無法進入。
評估結果:
本系統不存在 CVE-2025-1647 之可利用攻擊面(Attack Surface),因此判定為 Not Affected。
********************************************************************************
Bootstrap 3.4.0 在 NVD 有列 1 個弱點
Bootstrap 3.4.1 在 NVD 有列 0 個弱點
https://nvd.nist.gov/products/cpe/search/results?namingFormat=2.3&keyword=bootstrap+3.4.1
點下方 "View Vulnerabilities" 後
截至目前為止,NVD 並未將 Bootstrap 3.4.1 關聯任何已完成分析(Enriched)的 CVE,因此經 NVD 明確分析並確認影響 Bootstrap 3.4.1 的漏洞數量為 0。
********************************************************************************
注意,
- 某些掃描工具可能還會報告這些,因為該工具不知道 NVD 已經取消2個,掃描工具沒有修正更新。
- 沒取消的2個是 NVD 尚未完成分析,最後也可能 REJECT。
- 元件有弱點,不等於系統有弱點;因為可能並未使用有弱點的功能或屬性。或有其他防護措施,該弱點無法發生。
(完)
