cordova-plugin-file-transfer 发布:2015 年 9 月 21 日
2015 年 9 月 21 日
发现了 cordova-plugin-file-transfer 插件的一个中等安全问题。我们正在发布 cordova-plugin-file-transfer 的 1.3.0 版本来解决这个安全问题。我们建议所有目前正在使用此插件旧版本的应用程序尽快升级。
您可以通过删除插件,然后再重新添加来更新插件。
例如,更新您的文件传输插件
cordova plugin rm cordova-plugin-file-transfer --save
cordova plugin add cordova-plugin-file-transfer --save
此安全问题是 CVE-2015-5204。
为方便起见,此处包含 CVE 的文本
CVE-2015-5204:Apache Cordova Android 文件传输插件中的 HTTP 标头注入漏洞
严重性:中等
供应商:The Apache Software Foundation
受影响的版本:Cordova Android 文件传输插件(1.2.1 及以下版本)
描述:使用 Cordova 框架构建的 Android 应用程序,如果使用了文件传输插件,则可以通过上传的文件名来操纵该插件设置的 HTTP 标头。这允许 Cordova 应用程序伪造 Cookie,或者在某些情况下替换文件有效负载。远程托管的应用程序以及使用 Cordova 开发的、允许用户手动输入文件名的应用程序特别容易受到此问题的影响。
升级路径:担心此问题的开发人员应安装 Cordova 文件传输插件的 1.3.0 或更高版本,并重新构建其应用程序。此插件现在符合 RFC-2616 标准,并且不再允许在标头名称或值中使用非 ASCII 字符和控制字符。任何非 ASCII 字符都将从标头中删除。开发人员应该注意,并在将值添加到标头之前对这些字符进行编码。
致谢:此问题由 Muneaki Nishimura(Sony Digital Network Applications, Inc.)发现。