Cordova iOS 的 CVE 公告
2016 年 4 月 27 日
CVE-2015-5207 - Apache Cordova iOS 中访问限制的绕过
严重性:高
供应商:The Apache Software Foundation
受影响的版本:cordova-ios 3.9.2 及更低版本
描述:Apache Cordova iOS 包含 2 种绕过白名单提供的 URL 访问限制的方法。攻击者可以使用这 2 种方法中的任何一种,在仅使用白名单加载受信任资源的应用程序中加载恶意资源。
升级路径:担心此问题的开发人员应安装 cordova-ios 平台的 4.0.0 或更高版本。
鸣谢:此问题由 Recruit Technologies Co.,Ltd. 的 Muneaki Nishimura (nishimunea) 发现。__
CVE-2015-5208 - Apache Cordova iOS 中任意插件执行问题
严重性:高
供应商:The Apache Software Foundation
受影响的版本:cordova-ios 3.9.2 及更低版本
描述:当用户点击链接时,可以执行任意插件。
升级路径:担心此问题的开发人员应安装 cordova-ios 平台的 4.0.0 或更高版本。
鸣谢:此问题由 Recruit Technologies Co.,Ltd. 的 Muneaki Nishimura (nishimunea) 发现。