GHSA-c6pw-q7f2-97hv

Опубликовано: 04 сент. 2020

Источник: github

Github: Прошло ревью

CVSS3: 9.8

Описание

Privilege Escalation in cordova-plugin-inappbrowser

Versions of cordova-plugin-inappbrowser prior to 3.1.0 are vulnerable to Privilege Escalation. A website running in the InAppBrowser webview on Android could execute arbitrary JavaScript in the main application's webview using a specially crafted gap-iab: URI. This affects Cordova Android applications using the package.

Recommendation

Upgrade to version 3.1.0 or later.

Ссылки

Пакеты

Наименование

cordova-plugin-inappbrowser

npm

Затронутые версииВерсия исправления

< 3.1.0

3.1.0

EPSS

Процентиль: 92%

0.08908

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-0219

Дефекты

CWE-79

Связанные уязвимости

CVE-2019-0219

CVSS3: 9.8

nvd

около 6 лет назад

A website running in the InAppBrowser webview on Android could execute arbitrary JavaScript in the main application's webview using a specially crafted gap-iab: URI.

BDU:2021-02406

CVSS3: 9.8

fstec

около 6 лет назад

Уязвимость расширения Cordova In-App-Browser операционных систем Android, связанная с непринятием мер по защите структуры веб-страницы, позволяющая нарушителю выполнить произвольный JavaScript-код

EPSS

Процентиль: 92%

0.08908

Низкий

9.8 Critical

CVSS3

CVE ID

CVE-2019-0219

Дефекты

CWE-79