漏洞标题
N/A
漏洞描述信息
GitHub Electron 1.6.8 之前允许远程命令执行,因为节点集成绕过漏洞。这也影响所有打包相当于 1.6.8 或更早的 Electron 代码的所有应用程序。绕过同一来源政策(SOP)是一个先决条件;然而,最近的 Electron 版本没有严格的 SOP 执行。将 SOP 绕过与 Electron 内部使用的特权 URL 结合,可以在用户主机上运行操作系统命令时执行 native Node.js primitives。具体来说,可以使用 chrome-devtools://devtools/bundled/inspector.html 窗口来执行 Node.js 子进程.execFile API 调用。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
GitHub Electron before 1.6.8 allows remote command execution because of a nodeIntegration bypass vulnerability. This also affects all applications that bundle Electron code equivalent to 1.6.8 or earlier. Bypassing the Same Origin Policy (SOP) is a precondition; however, recent Electron versions do not have strict SOP enforcement. Combining an SOP bypass with a privileged URL internally used by Electron, it was possible to execute native Node.js primitives in order to run OS commands on the user's host. Specifically, a chrome-devtools://devtools/bundled/inspector.html window could be used to eval a Node.js child_process.execFile API call.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
GitHub Electron 操作系统命令注入漏洞
漏洞描述信息
GitHub Electron是美国GitHub公司的一个应用程序开发框架。该框架支持使用JavaScript、HTML和CSS编写跨平台桌面应用程序。 GitHub Electron 1.6.7及之前的版本中存在安全漏洞。远程攻击者可利用该漏洞执行命令。
CVSS信息
N/A
漏洞类别
授权问题