یک آسیبپذیری با شناسه CVE-2024-1648 و شدت بالا 7.5 در Electron-pdfکشف شده است که امکان خواندن فایل محلی از طریق XSS در سرور را برای مهاجم فراهم میآورد. این آسیبپذیری بهدلیل اینکه برنامه، محتوای HTML وارد شده توسط کاربر را بررسی و پاکسازی نمیکند رخ میدهد که در این صورت ورودیهای قابل کنترل توسط کاربر را خنثی نمیکند یا به اشتباه آن را خنثی میکند.
محصولات تحت تأثیر
آسیبپذیری مذکور محصول Electron-pdf نسخه 20.0.0را تحت تاثیر قرار میدهد.
توصیههای امنیتی
تاکنون وصله امنیتی خاصی برای این آسیبپذیری منتشر نشده است.
منابع خبر:
[1] https://fluidattacks.com/advisories/drake
[2] https://www.npmjs.com/package/electron-pdf
- 35