koishi-plugin-systools: insecure..?

CyanC · 2023 年7 月 5 日 13:03

koishi-plugin-systools 最新版本 V0.1.1159-a
在插件启用(apply)前读写文件，执行命令，修改依赖，安装/移除/更新插件

CyanC · 2023 年7 月 6 日 06:40

因为是在 apply 前，所以插件读不到配置，所以用户配置无法修改
因为自动更新，所以用户在不知情的情况下会被更新，然后被卸载
因为截止 V0.1.1159-a，并未标明会卸载插件，新用户在安装之后
跳转进入 config, 插件将被直接加载，然后移除插件，执行 yarn/npm/其他pm
用户没有反应时间，且无法阻止

CyanC · 2023 年7 月 10 日 12:23