GHSA-xwjh-cp99-cj8q

Опубликовано: 12 фев. 2019

Источник: github

Github: Прошло ревью

CVSS3: 8.6

Описание

Path Traversal in cordova-plugin-ionic-webview

Versions of cordova-plugin-ionic-webview prior to 2.2.0 are vulnerable to Path Traversal, allowing attackers access to OS local files that should be inaccessible by third-party applications. The package launches a webserver listening on http://localhost:8080 without restricting access of the app itself, thus escaping the iOS application sandbox and accessing local files.

Recommendation

Upgrade to version 2.2.0

Ссылки

Пакеты

Наименование

cordova-plugin-ionic-webview

npm

Затронутые версииВерсия исправления

< 2.2.0

2.2.0

EPSS

Процентиль: 78%

0.01244

Низкий

8.6 High

CVSS3

CVE ID

CVE-2018-16202

Дефекты

CWE-22

Связанные уязвимости

CVE-2018-16202

CVSS3: 8.6

nvd

больше 6 лет назад

Directory traversal vulnerability in cordova-plugin-ionic-webview versions prior to 2.2.0 (not including 2.0.0-beta.0, 2.0.0-beta.1, 2.0.0-beta.2, and 2.1.0-0) allows remote attackers to access arbitrary files via unspecified vectors.

BDU:2022-01019

CVSS3: 8.6

fstec

больше 6 лет назад

Уязвимость плагина cordova-plugin-ionic-webview, связанная с недостатками ограничения имени пути к каталогу, позволяющая нарушителю получить доступ к произвольным файлам

EPSS

Процентиль: 78%

0.01244

Низкий

8.6 High

CVSS3

CVE ID

CVE-2018-16202

Дефекты

CWE-22