更新于 2016 年 2 月 20 日
Apache Cordova 重新审视了 CVE-2015-5256 “Apache Cordova 在 Android 上对白名单限制的应用不当”。经过进一步调查,我们发现该漏洞比之前理解的范围更有限。我们正在将严重性降低为低,并更新描述、受影响的版本和升级路径。
CVE-2015-5257 仍然是 Cordova 3.6.4 中存在的有效漏洞,此漏洞已在更高版本的 Cordova 中修复,我们鼓励用户升级到 4.1.1 版本,对于需要支持 Marshmallow (API 23+) 的用户,我们建议升级到 Cordova Android 5.1.x。
使用 Cordova CLI 时,使用 Cordova Android 4.1.1 或 5.1.0 的命令是
cordova platform add [email protected]
cordova platform add [email protected]
安全问题是 CVE-2015-5256 和 CVE-2015-5257
为方便起见,此处包含 CVE 的文本。
更新于 2016 年 2 月 20 日
CVE-2015-5256:Apache Cordova 在 Android 上对白名单限制的应用不当
严重性:低
受影响的版本:具有白名单功能的 Cordova Android
描述
使用 Apache Cordova 创建的 Android 应用程序,如果使用远程服务器,则存在一个漏洞,其中使用 http 和 https 协议的 URL 的白名单限制未被正确应用。白名单无法阻止从白名单中的远程网站到非白名单网站的网络重定向。
升级路径
此漏洞没有特定的软件补丁。关注此问题的开发人员应确保仅将受信任的网站列入白名单,并确保列入白名单的网站不会重定向到恶意网站。开发人员还应使用 SSL 以及内容安全策略 (CSP) 来进一步缓解此问题。始终建议开发人员升级到最新版本的 Cordova Android。
贡献者:索尼数字网络应用公司的西村宗明 __
CVE-2015-5257:Apache Cordova Android 的 BridgeSecret 弱随机化
严重性:低
供应商:Apache 软件基金会
受影响的版本:高达 3.6.4 的 Cordova Android 版本
描述
Cordova 使用桥接来允许原生应用程序与控制用户界面的 HTML 和 Javascript 通信。为了保护 Android 上的此桥接,该框架使用 BridgeSecret 来防止第三方劫持。但是,BridgeSecret 的随机性不足,在某些情况下可以确定。
升级路径
关注此问题的开发人员应使用 Cordova Android 4.1.1 或更高版本重建其应用程序。3.6.4 之后的版本不包含此漏洞。
贡献者:IBM X-Force 应用程序安全研究团队的 David Kaplan 和 Roee Hay