漏洞标题
@electron/packager 的构建过程中的内存可能会泄漏到最终可执行文件中
漏洞描述信息
Electron Packager 将基于 Electron 的应用源代码与重命名后的 Electron 可执行文件和支持文件打包到分发就绪的文件夹中。在已知缓冲区两侧分配的 Node.js 堆内存的随机片段(~1-10kb)将泄露到最终可执行文件中。这部分内存 _可能_ 包含敏感信息,例如环境变量、密钥文件等。此问题已在 18.3.1 版本中修复。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
信息暴露
漏洞标题
@electron/packager's build process memory potentially leaked into final executable
漏洞描述信息
Electron Packager bundles Electron-based application source code with a renamed Electron executable and supporting files into folders ready for distribution. A random segment of ~1-10kb of Node.js heap memory allocated either side of a known buffer will be leaked into the final executable. This memory _could_ contain sensitive information such as environment variables, secrets files, etc. This issue is patched in 18.3.1.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
将私有的资源传输到一个新的空间(资源泄露)
漏洞标题
Electron Packager 安全漏洞
漏洞描述信息
Electron是个人开发者的一个用户编写跨平台桌面应用的 JavaScript 框架。该框架基于 nodejs 和 Chromium 可以使用HTML,CSS实现跨平台桌面应用的编写。 Electron Packager 18.3.1之前版本存在安全漏洞,该漏洞源于分配在已知缓冲区两侧的约 1-10kb 的 Node.js 堆内存随机段会将泄漏到最终的可执行文件中,该内存可能包含敏感信息,例如环境变量、机密文件等。
CVSS信息
N/A
漏洞类别
其他