CVE-2020-26272

Опубликовано: 28 янв. 2021

Источник: nvd

CVSS3: 5.4

CVSS3: 6.5

CVSS2: 6.4

EPSS Низкий

Описание

The Electron framework lets users write cross-platform desktop applications using JavaScript, HTML and CSS. In versions of Electron IPC prior to 9.4.0, 10.2.0, 11.1.0, and 12.0.0-beta.9, messages sent from the main process to a subframe in the renderer process, through webContents.sendToFrame, event.reply or when using the remote module, can in some cases be delivered to the wrong frame. If your app uses remote, calls webContents.sendToFrame, or calls event.reply in an IPC message handler then it is impacted by this issue. This has been fixed in versions 9.4.0, 10.2.0, 11.1.0, and 12.0.0-beta.9. There are no known workarounds for this issue.

Ссылки

https://github.com/electron/electron/commit/07a1c2a3e5845901f7e2eda9506695be58edc73c
Patch
Third Party Advisory
https://github.com/electron/electron/commit/0bbd268eb4caf35604443df5ff196980dd49e208
https://github.com/electron/electron/commit/36c695ce2a7e22c07fe1e30c61c00d20371daee2
https://github.com/electron/electron/commit/429400040ecb16a21d19936658579e65a797e4cc
https://github.com/electron/electron/commit/5c8e7e8b7f485ceafa8b271086d7b87e1de9dedd
https://github.com/electron/electron/pull/26875
Third Party Advisory
https://github.com/electron/electron/releases/tag/v9.4.0
Release Notes
Third Party Advisory
https://github.com/electron/electron/security/advisories/GHSA-hvf8-h2qh-37m9
Third Party Advisory
https://www.electronjs.org/releases/stable?version=9#9.4.0
Release Notes
Vendor Advisory
https://github.com/electron/electron/commit/07a1c2a3e5845901f7e2eda9506695be58edc73c
Patch
Third Party Advisory
https://github.com/electron/electron/pull/26875
Third Party Advisory
https://github.com/electron/electron/releases/tag/v9.4.0
Release Notes
Third Party Advisory
https://github.com/electron/electron/security/advisories/GHSA-hvf8-h2qh-37m9
Third Party Advisory
https://www.electronjs.org/releases/stable?version=9#9.4.0
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:*

Версия от 9.0.0 (включая) до 9.4.0 (исключая)

cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:*

Версия от 10.0.0 (включая) до 10.2.0 (исключая)

cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:*

Версия от 11.0.0 (включая) до 11.1.0 (исключая)

cpe:2.3:a:electronjs:electron:9.0.0:beta1:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta10:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta11:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta12:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta13:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta14:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta15:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta16:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta17:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta18:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta19:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta2:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta20:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta21:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta22:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta23:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta24:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta3:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta4:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta5:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta6:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta7:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta8:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta9:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta1:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta10:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta11:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta12:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta13:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta14:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta15:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta17:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta19:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta2:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta20:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta21:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta23:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta24:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta25:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta3:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta4:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta5:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta6:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta7:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta8:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:10.0.0:beta9:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta1:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta10:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta11:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta12:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta13:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta14:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta15:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta16:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta17:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta18:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta19:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta20:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta21:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta22:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta23:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta3:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta4:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta5:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta6:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta7:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta8:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:11.0.0:beta9:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:12.0.0:beta1:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:12.0.0:beta3:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:12.0.0:beta4:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:12.0.0:beta5:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:12.0.0:beta6:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:12.0.0:beta7:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:12.0.0:beta8:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:12.0.0:beta9:*:*:*:*:*:*

EPSS

Процентиль: 76%

0.00965

Низкий

5.4 Medium

CVSS3

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Дефекты

CWE-668

Связанные уязвимости

CVE-2020-26272

CVSS3: 5.4

debian

около 5 лет назад

The Electron framework lets users write cross-platform desktop applica ...

GHSA-hvf8-h2qh-37m9

CVSS3: 5.4

github

около 5 лет назад

IPC messages delivered to the wrong frame in Electron

EPSS

Процентиль: 76%

0.00965

Низкий

5.4 Medium

CVSS3

6.5 Medium

CVSS3

6.4 Medium

CVSS2

Дефекты

CWE-668