已发现一个漏洞,该漏洞允许在某些禁用 Node.js 集成的 Electron 应用程序中重新启用 Node.js 环境。 已为此漏洞分配了 CVE 标识符 CVE-2018-1000136。
受影响的应用程序
如果 以下所有 都为真,则应用程序将受到影响:
- 在 Electron 1.7, 1.8, 或 2.0.0-beta 上运行
- 允许执行任意远程代码
- 禁用 Node.js 集成
- 没有在其网页首选项中明确声明
webviewTag: false - 不启用
nativeWindowOption选项 - 不要在未使用提供的选项标签的情况下拦截
new-window事件并手动覆盖event.newGuest
虽然这似乎是 Electron 应用程序中的少数,但我们鼓励所有应用程序升级,以此作为一种预防措施。
Mitigation
此漏洞在当前 1.7.13, 1.8.4, 和 2.0.0-beta.5 版本中已修复.
无法升级其 Electron 版本的开发人员可以使用以下代码缓解此漏洞:
app.on('web-contents-created', (event, win) => {
win.on(
'new-window',
(event, newURL, frameName, disposition, options, additionalFeatures) => {
if (!options.webPreferences) options.webPreferences = {};
options.webPreferences.nodeIntegration = false;
options.webPreferences.nodeIntegrationInWorker = false;
options.webPreferences.webviewTag = false;
delete options.webPreferences.preload;
}
);
});
// and *IF* you don't use WebViews at all,
// you might also want
app.on('web-contents-created', (event, win) => {
win.on('will-attach-webview', (event, webPreferences, params) => {
event.preventDefault();
});
});
Further Information
此漏洞是由 Trustwave SpiderLabs的Brendan Scarvell 发现并负责任地报告给Electron项目的。
要了解有关确保 Electron 应用程序安全的最佳实践,请参阅我们的 安全教程。
要报告Electron中的漏洞,请发送电子邮件至 security@electronjs.org 邮箱。
请加入我们 电子邮件列表 以接收有关版本和安全更新的信息。