安全公告 CVE-2020-11990
2020年11月30日
我们已经解决了相机插件中的一个安全问题,该问题可能影响某些 Cordova (Android) 应用程序。
CVE-2020-11990:Apache Cordova 插件相机存在信息泄露漏洞
漏洞类型
CWE-200:敏感信息暴露给未经授权的参与者
严重性:低
供应商:The Apache Software Foundation
可能的攻击者条件
能够安装(或引导受害者安装)特制(或恶意)Android 应用程序的攻击者。Android 文档将外部缓存位置描述为应用程序特定的,但是,“这些文件没有强制执行任何安全性。例如,任何持有 Manifest.permission.WRITE_EXTERNAL_STORAGE 权限的应用程序都可以写入这些文件。”(从而读取)
可能的受害者
使用基于 Apache Cordova 的应用程序拍摄照片并连接可移动存储设备的 Android 用户。
可能的影响
- 机密性遭到破坏。
- 使用 Apache Cordova 相机插件开发的 Android 应用程序拍摄的图像文件(照片)将被泄露。
受影响的版本
使用相机插件的 Cordova Android 应用程序
( cordova-plugin-camera 版本 4.1.0 及更低版本 )
升级路径
关注此问题的开发人员应安装 cordova-plugin-camera 的 5.0.0 或更高版本
缓解步骤
升级插件并重新构建应用程序,更新部署。
鸣谢
[编辑:将鸣谢更改为个人]
Saison Information Systems Co., Ltd. 的 Akihiro Matsumura 向 IPA 报告了此漏洞。
JPCERT/CC 在信息安全预警合作伙伴关系下与开发人员进行了协调。
[编辑:添加了 JPCERT/CC 公告的链接]