CVE-2020-4075

Опубликовано: 07 июл. 2020

Источник: nvd

CVSS3: 6.8

CVSS3: 7.5

CVSS2: 2.1

EPSS Низкий

Описание

In Electron before versions 7.2.4, 8.2.4, and 9.0.0-beta21, arbitrary local file read is possible by defining unsafe window options on a child window opened via window.open. As a workaround, ensure you are calling event.preventDefault() on all new-window events where the url or options is not something you expect. This is fixed in versions 9.0.0-beta.21, 8.2.4 and 7.2.4.

Ссылки

https://github.com/electron/electron/security/advisories/GHSA-f9mq-jph6-9mhm
Third Party Advisory
https://www.electronjs.org/releases/stable?page=3#release-notes-for-v824
Release Notes
Vendor Advisory
https://github.com/electron/electron/security/advisories/GHSA-f9mq-jph6-9mhm
Third Party Advisory
https://www.electronjs.org/releases/stable?page=3#release-notes-for-v824
Release Notes
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:*

Версия от 7.0.0 (включая) до 7.2.4 (исключая)

cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:*

Версия от 8.0.0 (включая) до 8.2.4 (исключая)

cpe:2.3:a:electronjs:electron:9.0.0:-:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta1:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta10:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta11:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta12:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta13:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta14:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta15:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta16:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta17:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta18:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta19:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta2:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta20:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta3:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta4:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta5:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta6:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta7:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta8:*:*:*:*:*:*

cpe:2.3:a:electronjs:electron:9.0.0:beta9:*:*:*:*:*:*

EPSS

Процентиль: 49%

0.00264

Низкий

6.8 Medium

CVSS3

7.5 High

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-552

Связанные уязвимости

CVE-2020-4075

CVSS3: 6.8

debian

больше 5 лет назад

In Electron before versions 7.2.4, 8.2.4, and 9.0.0-beta21, arbitrary ...

GHSA-f9mq-jph6-9mhm

CVSS3: 6.8

github

больше 5 лет назад

Arbitrary file read via window-open IPC in Electron

EPSS

Процентиль: 49%

0.00264

Низкий

6.8 Medium

CVSS3

7.5 High

CVSS3

2.1 Low

CVSS2

Дефекты

CWE-552