CVE-2024-35222

Versões do Tauri anteriores à 1.6.7

Versões do Tauri anteriores à 2.0.0-beta.19

A vulnerabilidade permite que iFrames de origem remota em aplicativos Tauri acessem os pontos de extremidade IPC do Tauri sem permissão explícita. Isso contorna a verificação de origem e permite que os iFrames acessem os pontos de extremidade IPC expostos à janela pai. Para explorar a vulnerabilidade, um invasor deve ter permissão para executar scripts em um iFrame habilitado para scripts de um aplicativo Tauri. Comandos válidos com consequências potencialmente indesejadas poderiam ser invocados por um invasor que controlasse o conteúdo de um iFrame em execução dentro de um aplicativo Tauri.

Para versões anteriores à 1.6.7, considere usar uma janela dedicada para origens não confiáveis em vez de iFrames, ou desative a execução de scripts dentro do iFrame como solução alternativa.

Para versões anteriores à 2.0.0-beta.19, use uma janela dedicada ou várias WebViews na janela principal para simular o comportamento do iFrame no Linux, ou use janelas dedicadas ou desative a execução de scripts dentro do iFrame em outras plataformas.

Atualize para a versão 1.6.7 ou posterior para aplicativos Tauri v1.

Atualize para a versão 2.0.0-beta.19 ou posterior para aplicativos Tauri v2.