CVE-2026-42184

Nome do Software Vulnerável e Versões Afetadas Tauri versões 2.0 a 2.10.2

Description Uma falha na função is local url() faz com que URLs remotas sejam incorretamente classificadas como origens locais confiáveis no Windows e Android. Nessas plataformas, o Tauri mapeia protocolos de esquemas de URI personalizados para http://<scheme>.localhost/ porque as implementações de WebView desses sistemas não podem servir esquemas de URI personalizados diretamente. O problema ocorre porque a verificação de origens locais valida apenas o primeiro subdomínio da URL. Um invasor pode explorar isso hospedando uma página em um domínio onde o primeiro subdomínio corresponda ao esquema personalizado do aplicativo (ex: http://app.attacker.com/). Isso permite que uma página controlada por um invasor invoque comandos de backend que deveriam estar restritos ao frontend do próprio aplicativo e protegidos contra origens externas ou remotas.

Recommendations Atualize para a versão 2.10.3.