CVE-2020-26272

DEB

Средний

Фреймворк Electron позволяет писать кроссплатформенные настольные приложения с использованием JavaScript, HTML и CSS. В затронутых версиях …

CVSS

6.5

Средний

EPSS

0.02

p75

Опубликовано

2020-01-01

Обновлено

2020-01-01

Описание

Фреймворк Electron позволяет писать кроссплатформенные настольные приложения с использованием JavaScript, HTML и CSS. В затронутых версиях Electron сообщения IPC, отправленные из основного процесса во фрейм в процессе рендеринга через webContents.sendToFrame, event.reply или при использовании удаленного модуля, в некоторых случаях могут быть доставлены неверному фрейму. Если ваше приложение использует remote, вызывает webContents.sendToFrame или вызывает event.reply в обработчике сообщений IPC, то оно подвержено этой проблеме. Это было исправлено в версиях 9.4.0, 10.2.0, 11.1.0 и 12.0.0-beta.9. Обходных решений для этой проблемы нет.

Теги · CWE

Без аутентификации

CWE-668

Затронутые продукты

Electron 9.0.0–9.4.0Electron 10.0.0–10.2.0Electron 11.0.0–11.1.0Electron

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N

Хронология

2020-01-01

Опубликована

2020-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: U

Неизменная (U)

Воздействие на конфиденциальность

C: L

Низкое (L)

Воздействие на целостность

I: L

Низкое (L)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.018 · p75

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Продукт	Вендор	Статус
electron		Отслеживается
electron	*	Отслеживается

Источники данных

DEB

CVE