NVD Vulnerability Detail

CVE-2021-39184

Summary	Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. A vulnerability in versions prior to 11.5.0, 12.1.0, and 13.3.0 allows a sandboxed renderer to request a "thumbnail" image of an arbitrary file on the user's system. The thumbnail can potentially include significant parts of the original file, including textual data in many cases. Versions 15.0.0-alpha.10, 14.0.0, 13.3.0, 12.1.0, and 11.5.0 all contain a fix for the vulnerability. Two workarounds aside from upgrading are available. One may make the vulnerability significantly more difficult for an attacker to exploit by enabling `contextIsolation` in one's app. One may also disable the functionality of the `createThumbnailFromPath` API if one does not need it.
Publication Date	Oct. 13, 2021, 4:15 a.m.
Registration Date	Oct. 13, 2021, 10 a.m.
Last Update	Nov. 21, 2024, 3:18 p.m.

CVSS3.1 : HIGH
スコア	8.6
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更あり
機密性への影響(C)	高
完全性への影響(I)	なし
可用性への影響(A)	なし

CVSS2.0 : MEDIUM
Score	5.0
Vector	AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃前の認証要否(Au)	不要
機密性への影響(C)	低
完全性への影響(I)	なし
可用性への影響(A)	なし
Get all privileges.	いいえ
Get user privileges	いいえ
Get other privileges	いいえ
User operation required	いいえ

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:electronjs:electron:15.0.0:alpha1::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha2::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha3::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha4::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha5::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha6::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha7::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha8::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha9::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta1::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta2::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta3::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta4::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta5::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta6::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta7::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta8::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta9::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta10::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta11::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta12::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta13::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta14::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta15::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta16::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta17::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta18::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta19::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta20::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta21::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta22::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta23::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta24::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta25::::::
cpe:2.3:a:electronjs:electron::::::::	13.0.0			13.3.0
cpe:2.3:a:electronjs:electron::::::::	12.0.0			12.1.0
cpe:2.3:a:electronjs:electron::::::::	10.1.0			11.5.0

Related information, measures and tools

No	URL	タグ
1	https://github.com/electron/electron/pull/30728	Third Party Advisory
2	https://github.com/electron/electron/pull/30728	Third Party Advisory
3	https://github.com/electron/electron/security/advisories/GHSA-mpjm-v997-c4h4	Mitigation Third Party Advisory
4	https://github.com/electron/electron/security/advisories/GHSA-mpjm-v997-c4h4	Mitigation Third Party Advisory

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-862	認証の欠如	https://cwe.mitre.org/data/definitions/862.html

JVN Vulnerability Information

Electron の electron における認証の欠如に関する脆弱性

Title	Electron の electron における認証の欠如に関する脆弱性
Summary	Electron の electron には、認証の欠如に関する脆弱性が存在します。
Possible impacts	情報を取得される可能性があります。
Solution	参考情報を参照して適切な対策を実施してください。
Publication Date	Oct. 12, 2021, midnight
Registration Date	July 17, 2024, 12:16 p.m.
Last Update	July 17, 2024, 12:16 p.m.

Affected System

Electron

electron 10.1.0 以上 11.5.0 未満

electron 12.0.0 以上 12.1.0 未満

electron 13.0.0 以上 13.3.0 未満

electron 14.0.0

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2021-39184	https://www.cve.org/CVERecord?id=CVE-2021-39184
National Vulnerability Database (NVD)
2	CVE-2021-39184	https://nvd.nist.gov/vuln/detail/CVE-2021-39184

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-862	https://cwe.mitre.org/data/definitions/862.html

その他

No	Name	URL
関連文書
1	github.com (GHSA-mpjm-v997-c4h4)	https://github.com/electron/electron/security/advisories/GHSA-mpjm-v997-c4h4
2	github.com (pull/30728)	https://github.com/electron/electron/pull/30728

Change Log

No	Changed Details	Date of change
1	[2024年07月17日] 掲載	July 17, 2024, 12:16 p.m.

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:electronjs:electron:15.0.0:alpha1::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha2::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha3::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha4::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha5::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha6::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha7::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha8::::::
cpe:2.3:a:electronjs:electron:15.0.0:alpha9::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta1::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta2::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta3::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta4::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta5::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta6::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta7::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta8::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta9::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta10::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta11::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta12::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta13::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta14::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta15::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta16::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta17::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta18::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta19::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta20::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta21::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta22::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta23::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta24::::::
cpe:2.3:a:electronjs:electron:14.0.0:beta25::::::
cpe:2.3:a:electronjs:electron::::::::	13.0.0			13.3.0
cpe:2.3:a:electronjs:electron::::::::	12.0.0			12.1.0
cpe:2.3:a:electronjs:electron::::::::	10.1.0			11.5.0