For the English version of this alert, click here.
Allele Security Alert
ASA-2019-00072
Identificador(es)
ASA-2019-00072
Título
Vulnerabilidade permitia Node ser reabilitado em janelas filhas
Fabricante(s)
Github
Produto(s)
Electron
Versão(ões) afetada(s)
Todas as versões suportadas do Electron
Versão(ões) corrigida(s)
Electron versões 2.0.17, 3.0.15, 3.1.3, 4.0.4, e 5.0.0-beta.2
Prova de conceito
Desconhecida
Descrição
Foi descoberta uma vulnerabilidade de código que permite que o Node seja reativado em janelas filhas.
Abrir um BrowserView com sandbox: true ou nativeWindowOpen: true e nodeIntegration: false resulta em um webContents em que window.open pode ser chamado e a janela filho recém-aberta terá o nodeIntegration ativado.
Detalhes técnicos
Desconhecido
Créditos
PalmerAL
Referência(s)
BrowserView window.open() Vulnerability Fix
https://electronjs.org/blog/window-open-fix
electron v2.0.17
https://github.com/electron/electron/releases/tag/v2.0.17
electron v3.0.15
https://github.com/electron/electron/releases/tag/v3.0.15
electron v3.1.3
https://github.com/electron/electron/releases/tag/v3.1.3
electron v4.0.4
https://github.com/electron/electron/releases/tag/v4.0.4
electon v5.0.0-beta.2
https://github.com/electron/electron/releases/tag/v5.0.0-beta.2
Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.
Última modificação: 11 fevereiro 2019