آسیب‌پذیری خواندن فایل محلی از طریق XSS در Electron-pdf

آسیب‌پذیری خواندن فایل محلی از طریق XSS در Electron-pdf

تاریخ ایجاد

یک آسیب‌پذیری با شناسه CVE-2024-1648 و شدت بالا 7.5 در  Electron-pdfکشف شده است که امکان خواندن فایل محلی از طریق XSS در سرور را برای مهاجم فراهم می‌آورد. این آسیب‌پذیری به‌دلیل این‌که برنامه، محتوای HTML وارد شده توسط کاربر را بررسی و پاکسازی نمی‌کند رخ می‌دهد که در این صورت ورودی‌های قابل کنترل توسط کاربر را خنثی نمی‌کند یا به اشتباه آن را خنثی می‌کند. 

محصولات تحت تأثیر
آسیب‌پذیری مذکور محصول Electron-pdf نسخه 20.0.0را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
تاکنون وصله‌ امنیتی خاصی برای این آسیب‌پذیری منتشر نشده است. 

منابع خبر:


[1] https://fluidattacks.com/advisories/drake
[2] https://www.npmjs.com/package/electron-pdf