漏洞标题
N/A
漏洞描述信息
Github Electron版本 Electron 1.8.2-beta.4 及更早版本中包含一个命令注入漏洞,可能导致命令执行。这种攻击似乎可以通过受害者在浏览器中打开 Electron 协议处理程序来利用。这个漏洞似乎在 Electron 1.8.2-beta.5 中已修复。这个问题是由于 CVE-2018-1000006 的不完全修复引起的,特别是使用的黑色列表不是忽略字元 case 的,因此允许攻击者 potentially 绕过它。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
Github Electron version Electron 1.8.2-beta.4 and earlier contains a Command Injection vulnerability in Protocol Handler that can result in command execute. This attack appear to be exploitable via the victim opening an electron protocol handler in their browser. This vulnerability appears to have been fixed in Electron 1.8.2-beta.5. This issue is due to an incomplete fix for CVE-2018-1000006, specifically the black list used was not case insensitive allowing an attacker to potentially bypass it.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Github Electron Protocol Handler 命令注入漏洞
漏洞描述信息
GitHub Electron是美国GitHub公司的一个应用程序开发框架。该框架支持使用JavaScript、HTML和CSS编写跨平台桌面应用程序。Protocol Handler是其中的一个协议处理程序。 Github Electron 1.8.2-beta.4及之前版本中的Protocol Handler存在命令注入漏洞。当用户在浏览器中打开electron协议处理程序时,攻击者可利用该漏洞执行命令。
CVSS信息
N/A
漏洞类别
授权问题