PT-2022-26107 · Tauri · Tauri
Messycomposer
·
Publicado
2022-09-19
·
Atualizado
2022-11-15
·
CVE-2022-41874
CVSS v3.1
2.6
Baixa
| Vetor | AV:A/AC:H/PR:L/UI:R/S:C/C:L/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Tauri anteriores à 1.0.7
Versões do Tauri anteriores à 1.1.2
Descrição
O problema está relacionado a um nome resolvido incorretamente, em que a codificação incorreta de caracteres especiais nos caminhos selecionados por meio da caixa de diálogo de arquivos e da funcionalidade de arrastar e soltar permite uma contornagem parcial da definição do escopo
fs. Essa contornagem é limitada a arquivos vizinhos e subpastas de caminhos já permitidos. O impacto varia entre Windows, macOS e Linux devido a diferenças nos caracteres válidos de caminho. Uma contornagem bem-sucedida requer que o usuário selecione um arquivo ou diretório malicioso pré-existente durante a caixa de diálogo de seleção de arquivos e uma lógica controlada pelo invasor para acessar esses arquivos.Recomendações
Para versões anteriores à 1.0.7, atualize para a versão 1.0.7 ou posterior.
Para versões anteriores à 1.1.2, atualize para a versão 1.1.2 ou posterior.
Como solução alternativa temporária, desative os componentes
dialog e fileDropEnabled dentro do arquivo tauri.conf.json.Exploit
Correção
Improper Access Control
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Tauri