發現 cordova-plugin-file-transfer 外掛程式存在中等安全風險問題。我們正在發佈 cordova-plugin-file-transfer 的 1.3.0 版本以解決此安全問題。我們建議所有目前使用此外掛程式較舊版本的應用程式盡快升級。
您可以透過移除外掛程式,然後重新新增來更新外掛程式。
例如:要更新您的 file-transfer 外掛程式
cordova plugin rm cordova-plugin-file-transfer --save
cordova plugin add cordova-plugin-file-transfer --save
安全問題為 CVE-2015-5204。
為方便起見,此處包含 CVE 的文字
CVE-2015-5204:Apache Cordova File Transfer Plugin for Android 中的 HTTP 標頭注入漏洞
嚴重性:中等
供應商:The Apache Software Foundation
受影響版本:Cordova Android File Transfer Plugin (1.2.1 及更低版本)
描述:使用 Cordova 框架建構,且使用 File Transfer 外掛程式的 Android 應用程式,其 HTTP 標頭可能會因上傳的檔案名稱而被操縱。這允許 Cordova 應用程式偽造 Cookie,或在某些情況下取代檔案酬載。遠端託管應用程式和使用 Cordova 開發,允許使用者手動輸入檔案名稱的應用程式,尤其容易受到此問題的影響。
升級路徑:擔心此問題的開發人員應安裝 Cordova File Transfer Plugin 的 1.3.0 或更高版本,並重新建構其應用程式。此外掛程式現在符合 RFC-2616,不再允許在標頭名稱或值中使用非 ASCII 字元和控制字元。任何非 ASCII 字元都將從標頭中移除。開發人員應注意,並在將值新增至標頭之前對這些字元進行編碼。
致謝:此問題由 Muneaki Nishimura (Sony Digital Network Applications, Inc.) 發現
cordova-plugin-file-transfer@1.3.0