安全公司：TradingView 0day 漏洞预警

【链得得播报】链得得（微信号：ChainDD）3月1日讯，据 Joinsec 情报及慢雾安全团队的深入分析，通用 K 线展示 JS 库 TradingView 再次发现两个 0day 漏洞，可绕过 Cloudflare 及浏览器 CSP 防御机制，并且不会在 Web 服务上留下日志。

第一个 0day 漏洞如果被利用成功会导致用户帐号权限被盗、交易恶意操作等，从而造成资产损失；

第二个 0day 漏洞可以实施钓鱼攻击盗取用户账号密码，也可在特殊场景下绕过目标 Web 服务的 CSRF 防御。TradingView 在数字货币交易等平台被非常广泛地应用，属于商业软件，版本分布未知。

鉴于历史披露及新发现的 0day 漏洞相关场景来看，强烈建议使用 TradingView 的项目方保持警惕，注意用户的异常反馈。