PT-2021-7285 · Electron · Electron
Marshallofsound
·
Publicado
2021-10-12
·
Atualizado
2022-08-05
·
CVE-2021-39184
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Electron anteriores à 11.5.0
Versões do Electron anteriores à 12.1.0
Versões do Electron anteriores à 13.3.0
Descrição
Uma vulnerabilidade no Electron permite que um renderizador em sandbox solicite uma imagem em “miniatura” de um arquivo arbitrário no sistema do usuário. A miniatura pode potencialmente incluir partes significativas do arquivo original, incluindo dados textuais em muitos casos. Este problema está relacionado à API
createThumbnailFromPath e pode levar à divulgação de informações protegidas.Recomendações
Para versões anteriores à 11.5.0, considere atualizar para a versão 11.5.0 ou posterior.
Para versões anteriores à 12.1.0, considere atualizar para a versão 12.1.0 ou posterior.
Para versões anteriores à 13.3.0, considere atualizar para a versão 13.3.0 ou posterior.
Como solução alternativa temporária, considere habilitar
contextIsolation em seu aplicativo para tornar a vulnerabilidade significativamente mais difícil de ser explorada por um invasor.Se seu aplicativo não depende da API
createThumbnailFromPath, considere desabilitar a funcionalidade excluindo require(‘electron’).nativeImage.createThumbnailFromPath no processo principal antes do evento ‘ready’.Correção
Missing Authorization
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Electron