【得得预警】TradingView 最新版本再次出现 XSS 0day 漏洞

【链得得播报】链得得（微信号：ChainDD）12月17日讯，慢雾安全团队之前披露过：通用 K 线展示的 JS 库 TradingView 存在 XSS 0day 漏洞，可绕过 Cloudflare 等防御机制。该漏洞被利用会导致用户帐号权限被盗、恶意操作等造成资产损失。根据慢雾区伙伴的情报反馈，TradingView 最新版并未完美修复这个 XSS 漏洞，导致漏洞再次出现。

解决方案：TradingView 库 bundles 目录下有个 library 开头的 js ⽂文件，检查这个文件是否存在漏洞代码或类似： getScript(urlParams.indicatorsFile)，如果存在，可以把代码改为：getScript("")，即可。