CVE-2021-39184

DEB

Высокий

Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. Уязвимость в верси…

CVSS

8.6

Высокий

EPSS

0.01

p58

Опубликовано

2021-01-01

Обновлено

2021-01-01

Описание

Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. Уязвимость в версиях, предшествующих 11.5.0, 12.1.0 и 13.3.0, позволяет изолированному рендереру запрашивать изображение "миниатюры" произвольного файла в системе пользователя. Миниатюра потенциально может включать значительные части исходного файла, в том числе текстовые данные во многих случаях. Версии 15.0.0-alpha.10, 14.0.0, 13.3.0, 12.1.0 и 11.5.0 содержат исправление для этой уязвимости. Доступны два обходных пути, помимо обновления. Один из них может значительно затруднить эксплуатацию уязвимости злоумышленником, включив `contextIsolation` в своем приложении. Также можно отключить функциональность API `createThumbnailFromPath`, если она не требуется.

Теги · CWE

Без аутентификации

CWE-668

Затронутые продукты

Electron 10.1.0–11.5.0Electron 12.0.0–12.1.0Electron 13.0.0–13.3.0Electron

Вектор CVSS

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N

Хронология

2021-01-01

Опубликована

2021-01-01

Обновлена

Разбор CVSS 3.1

Вектор атаки

AV: N

Сеть (N)

Сложность атаки

AC: L

Низкая (L)

Требуемые привилегии

PR: N

Отсутствуют (N)

Взаимодействие с пользователем

UI: N

Отсутствует (N)

Область воздействия

S: C

Изменена (C)

Воздействие на конфиденциальность

C: H

Высокое (H)

Воздействие на целостность

I: N

Отсутствует (N)

Воздействие на доступность

A: N

Отсутствует (N)

Индикаторы эксплуатации

EPSS

0.010 · p58

Известна эксплуатация (KEV)

Нет

Проверки Сканер-ВС

Проверок Сканер-ВС для этой уязвимости в базе пока нет.

Затронутые продукты

Продукт	Вендор	Статус
electron		Отслеживается
electron	*	Отслеживается

Источники данных

DEB

CVE

Связанные уязвимости

BDU:2022-05149