CVE-2021-39184
概要

Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. A vulnerability in versions prior to 11.5.0, 12.1.0, and 13.3.0 allows a sandboxed renderer to request a "thumbnail" image of an arbitrary file on the user's system. The thumbnail can potentially include significant parts of the original file, including textual data in many cases. Versions 15.0.0-alpha.10, 14.0.0, 13.3.0, 12.1.0, and 11.5.0 all contain a fix for the vulnerability. Two workarounds aside from upgrading are available. One may make the vulnerability significantly more difficult for an attacker to exploit by enabling `contextIsolation` in one's app. One may also disable the functionality of the `createThumbnailFromPath` API if one does not need it.

公表日 2021年10月13日4:15
登録日 2021年10月13日10:00
最終更新日 2024年11月21日15:18
CVSS3.1 : HIGH
スコア 8.6
ベクター CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更あり
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
CVSS2.0 : MEDIUM
スコア 5.0
ベクター AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:electronjs:electron:15.0.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:15.0.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:15.0.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:15.0.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:15.0.0:alpha5:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:15.0.0:alpha6:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:15.0.0:alpha7:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:15.0.0:alpha8:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:15.0.0:alpha9:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta1:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta2:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta3:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta4:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta5:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta6:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta7:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta8:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta9:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta10:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta11:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta12:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta13:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta14:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta15:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta16:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta17:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta18:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta19:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta20:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta21:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta22:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta23:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta24:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:14.0.0:beta25:*:*:*:*:*:*
cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:* 13.0.0 13.3.0
cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:* 12.0.0 12.1.0
cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:* 10.1.0 11.5.0
関連情報、対策とツール
共通脆弱性一覧

JVN脆弱性情報
Electron の electron における認証の欠如に関する脆弱性
タイトル Electron の electron における認証の欠如に関する脆弱性
概要

Electron の electron には、認証の欠如に関する脆弱性が存在します。

想定される影響 情報を取得される可能性があります。
対策

参考情報を参照して適切な対策を実施してください。

公表日 2021年10月12日0:00
登録日 2024年7月17日12:16
最終更新日 2024年7月17日12:16
影響を受けるシステム
Electron
electron 10.1.0 以上 11.5.0 未満
electron 12.0.0 以上 12.1.0 未満
electron 13.0.0 以上 13.3.0 未満
electron 14.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
その他
変更履歴
No 変更内容 変更日
1 [2024年07月17日]
  掲載
2024年7月17日12:16