PT-2022-15061 · Electron · Electron
Marshallofsound
·
Publicado
2022-03-22
·
Atualizado
2023-07-24
·
CVE-2022-21718
CVSS v2.0
4.0
Média
| Vetor | AV:N/AC:L/Au:S/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Electron anteriores à 17.0.0-alpha.6
Versões do Electron anteriores à 16.0.6
Versões do Electron anteriores à 15.3.5
Versões do Electron anteriores à 14.2.4
Versões do Electron anteriores à 13.6.6
Descrição
Uma vulnerabilidade no Electron permite que renderizadores obtenham acesso a um dispositivo Bluetooth por meio da API Bluetooth da web, caso o aplicativo não tenha configurado um manipulador de eventos
select-bluetooth-device personalizado. O dispositivo acessado é aleatório e o invasor não teria como selecionar um dispositivo específico. Todas as versões estáveis atuais do Electron estão afetadas.Recomendações
Para versões anteriores à 17.0.0-alpha.6, atualize para a versão 17.0.0-alpha.6 ou posterior.
Para versões anteriores à 16.0.6, atualize para a versão 16.0.6 ou posterior.
Para versões anteriores à 15.3.5, atualize para a versão 15.3.5 ou posterior.
Para versões anteriores à 14.2.4, atualize para a versão 14.2.4 ou posterior.
Para versões anteriores à 13.6.6, atualize para a versão 13.6.6 ou posterior.
Como solução temporária, considere adicionar o código para impedir o comportamento padrão e cancelar a solicitação do manipulador de eventos
select-bluetooth-device.Exploit
Correção
Missing Authorization
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Electron