Electron WebPreferences 远程命令执行漏洞(CVE-2018-15685)

漏洞背景

GitHub Electron是美国GitHub公司的一个应用程序开发框架。该框架支持使用JavaScript、HTML和CSS编写跨平台桌面应用程序。 GitHub Electron中存在安全漏洞。远程攻击者可利用该漏洞执行代码。以下版本受到影响:GitHub Electron 1.7.15版本,1.8.7版本,2.0.7版本,3.0.0-beta.6版本。
Electron在设置了nodeIntegration=false的情况下(默认),页面中的JavaScript无法访问node.js的内置库。CVE-2018-15685绕过了该限制,导致在用户可执行JavaScript的情况下(如访问第三方页面或APP存在XSS漏洞时),能够执行任意命令。

漏洞详细

直接看这个来的快:https://github.com/vulhub/vulhub/blob/master/electron/CVE-2018-15685/README.zh-cn.md
说实话我看不懂

你可能感兴趣的:(vulhub漏洞复现,安全)