Описание
GitHub Electron versions 1.8.2-beta.3 and earlier, 1.7.10 and earlier, 1.6.15 and earlier has a vulnerability in the protocol handler, specifically Electron apps running on Windows 10, 7 or 2008 that register custom protocol handlers can be tricked in arbitrary command execution if the user clicks on a specially crafted URL. This has been fixed in versions 1.8.2-beta.4, 1.7.11, and 1.6.16.
Ссылки
- Third Party AdvisoryVDB Entry
- MitigationThird Party Advisory
- PatchThird Party Advisory
- ExploitThird Party AdvisoryVDB Entry
- Third Party AdvisoryVDB Entry
- MitigationThird Party Advisory
- PatchThird Party Advisory
- ExploitThird Party AdvisoryVDB Entry
Уязвимые конфигурации
Конфигурация 1
Одновременно
Одно из
cpe:2.3:a:atom:electron:1.8.2:beta1:*:*:*:*:*:*
cpe:2.3:a:atom:electron:1.8.2:beta2:*:*:*:*:*:*
cpe:2.3:a:atom:electron:1.8.2:beta3:*:*:*:*:*:*
Одно из
cpe:2.3:o:microsoft:windows_10:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_7:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_server_2008:-:*:*:*:*:*:*:*
Конфигурация 2Версия до 1.7.10 (включая)
Одновременно
cpe:2.3:a:atom:electron:*:*:*:*:*:*:*:*
Одно из
cpe:2.3:o:microsoft:windows_10:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_7:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_server_2008:-:*:*:*:*:*:*:*
Конфигурация 3Версия до 1.6.15 (включая)
Одновременно
cpe:2.3:a:atom:electron:*:*:*:*:*:*:*:*
Одно из
cpe:2.3:o:microsoft:windows_10:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_7:-:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows_server_2008:-:*:*:*:*:*:*:*
EPSS
Процентиль: 100%
0.92322
Критический
8.8 High
CVSS3
9.3 Critical
CVSS2
Дефекты
CWE-78
Связанные уязвимости
CVSS3: 8.8
debian
около 8 лет назад
GitHub Electron versions 1.8.2-beta.3 and earlier, 1.7.10 and earlier, ...
EPSS
Процентиль: 100%
0.92322
Критический
8.8 High
CVSS3
9.3 Critical
CVSS2
Дефекты
CWE-78