PT-2022-4290 · Electron · Electron
Marshallofsound
+2
·
Publicado
2022-06-13
·
Atualizado
2022-06-27
·
CVE-2022-29247
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Electron anteriores à 18.0.0-beta.6
Versões do Electron anteriores à 17.2.0
Versões do Electron anteriores à 16.2.6
Versões do Electron anteriores à 15.5.5
Descrição
A vulnerabilidade está relacionada ao parâmetro
nodeIntegrationInSubFrames no Electron, o que pode levar à divulgação de informações. Um renderizador com execução de JavaScript pode obter acesso a um novo processo de renderização com nodeIntegrationInSubFrames habilitado, permitindo acesso efetivo ao ipcRenderer. Esse acesso pode comprometer o aplicativo ou o usuário se o aplicativo expor mensagens IPC sem validação do senderFrame do IPC que realizem ações privilegiadas ou retornem dados confidenciais.Recomendações
Para versões anteriores à 18.0.0-beta.6, atualize para a versão 18.0.0-beta.6 ou posterior.
Para versões anteriores à 17.2.0, atualize para a versão 17.2.0 ou posterior.
Para versões anteriores à 16.2.6, atualize para a versão 16.2.6 ou posterior.
Para versões anteriores à 15.5.5, atualize para a versão 15.5.5 ou posterior.
Como solução alternativa temporária, certifique-se de que todos os manipuladores de mensagens IPC validem adequadamente
senderFrame.Exploit
Correção
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Electron