CVE-2025-68429 Storybook环境变量泄露漏洞

漏洞信息

漏洞编号

CVE-2025-68429

漏洞类型

敏感信息泄露

CVSS评分

7.3 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Storybook

漏洞概述

CVE-2025-68429是Storybook前端工具框架中的一个高危安全漏洞，CVSS评分7.3。该漏洞影响Storybook 7.0.0至7.6.21之前版本、8.6.15之前版本、9.1.17之前版本以及10.1.10之前版本。漏洞根源在于Storybook在处理`.env`文件中定义的环境变量时存在设计缺陷，在特定构建场景下，这些敏感环境变量可能被意外打包到`storybook build`命令生成的生产构建产物中。当Storybook构建产物被部署到Web服务器后，攻击者可以通过查看bundle源代码来获取这些原本应保密的环境变量，可能导致API密钥、数据库凭证、第三方服务密钥等敏感信息泄露。值得注意的是，仅在包含.env文件的目录中执行构建操作且将构建产物发布到Web时才存在风险，通过CI/CD平台环境变量注入方式构建的Storybook不受影响，Storybook开发服务器(storybook dev)也不受影响。

技术细节

Storybook框架在执行`storybook build`命令时，会处理项目目录中的.env文件并将其中定义的环境变量注入到构建流程中。漏洞产生的根本原因是Storybook在打包过程中未能正确过滤.env文件中的变量，导致这些变量被包含在最终生成的JavaScript bundle中。攻击者只需要访问部署后的Storybook页面，查看页面源代码或通过开发者工具检查网络请求，即可获取被暴露的敏感环境变量。该漏洞的利用条件相对简单：1)目标项目在包含.env文件的目录中执行了storybook build；2)构建产物被部署到可公开访问的Web服务器；3).env文件中包含敏感凭证信息。由于.env文件通常用于存储API密钥、数据库密码、加密盐值等敏感配置，此漏洞可能造成严重的安全后果。攻击者利用获取的凭证可以进一步访问后端服务、数据库或其他受保护资源。

攻击链分析

STEP 1

步骤1

目标开发者在包含.env文件的目录中执行storybook build命令，.env文件包含API密钥、数据库凭证等敏感信息

STEP 2

步骤2

Storybook构建过程中错误地将.env中的环境变量打包到生成的JavaScript bundle文件中

STEP 3

步骤3

开发者将构建产物部署到可公开访问的Web服务器

STEP 4

步骤4

攻击者访问部署的Storybook页面，通过查看页面源代码或使用开发者工具分析bundle文件

STEP 5

步骤5

攻击者提取bundle中暴露的环境变量，获取敏感凭证信息

STEP 6

步骤6

攻击者利用获取的凭证访问后端服务、数据库或第三方API，实施进一步攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2025-68429 PoC - 环境变量泄露检测
// 1. 访问部署的Storybook页面
const targetUrl = 'https://vulnerable-storybook.example.com';

// 2. 获取页面源代码，搜索敏感环境变量模式
async function checkEnvLeak(url) {
  const response = await fetch(url);
  const html = await response.text();
  
  // 常见的敏感变量名模式
  const sensitivePatterns = [
    /API_KEY/i,
    /SECRET/i,
    /PASSWORD/i,
    /TOKEN/i,
    /DATABASE/i,
    /CREDENTIAL/i
  ];
  
  // 检查HTML中是否包含暴露的敏感信息
  const leaks = sensitivePatterns
    .filter(pattern => pattern.test(html))
    .map(pattern => pattern.source);
  
  return {
    vulnerable: leaks.length > 0,
    exposedVariables: leaks
  };
}

// 3. 检查JavaScript bundle中的环境变量
async function checkBundle(url) {
  // 查找main.xxx.js文件
  const jsFiles = document.querySelectorAll('script[src]');
  
  for (const file of jsFiles) {
    const response = await fetch(file.src);
    const jsContent = await response.text();
    
    // 搜索环境变量定义模式
    const envPatterns = [
      /process\.env\.[A-Z_]+/g,
      /\.env\.[A-Z_]+/g
    ];
    
    for (const pattern of envPatterns) {
      const matches = jsContent.match(pattern);
      if (matches) {
        console.log('Potential env leak:', matches);
      }
    }
  }
}

影响范围

Storybook 7.0.0 - 7.6.20

Storybook < 8.6.15

Storybook < 9.1.17

Storybook < 10.1.10

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1)检查并清理.env文件中可能泄露的敏感凭证，立即轮换已暴露的密钥；2)使用CI/CD平台的环境变量功能替代.env文件来注入敏感配置；3)检查已部署的Storybook构建产物，确认敏感信息是否已被泄露；4)如果发现泄露，立即下线相关服务并执行密钥轮换；5)审查代码仓库，确保.env文件已添加到.gitignore避免提交到版本控制系统。