安全公告 CVE-2020-11990
2020 年 11 月 30 日
我們已解決相機外掛程式中的一個安全問題,此問題可能影響某些 Cordova (Android) 應用程式。
CVE-2020-11990: Apache Cordova 相機外掛程式存在資訊洩漏漏洞
漏洞類型
CWE-200:敏感資訊暴露給未經授權的參與者
嚴重性: 低
供應商: The Apache Software Foundation
可能的攻擊者條件
攻擊者可以安裝(或引導受害者安裝)經過特別設計(或惡意)的 Android 應用程式。Android 文件將外部快取位置描述為應用程式特定的,但是,「這些檔案沒有強制執行安全性。例如,任何持有 Manifest.permission.WRITE_EXTERNAL_STORAGE 權限的應用程式都可以寫入這些檔案。」(因此也可以讀取)
可能的受害者
使用基於 Apache Cordova 的應用程式並連接可移動儲存裝置拍照的 Android 使用者。
可能的影響
- 機密性遭到破壞。
- 使用 Apache Cordova 相機外掛程式開發的 Android 應用程式所拍攝的圖像檔案(照片)將會被洩漏。
受影響的版本
使用相機外掛程式的 Cordova Android 應用程式
(cordova-plugin-camera 版本 4.1.0 及更低版本)
升級路徑
關心此問題的開發人員應安裝 cordova-plugin-camera 5.0.0 或更高版本
緩解步驟
升級外掛程式並重新建置應用程式,更新部署。
致謝
[編輯:將致謝對象更改為個人]
Saison Information Systems Co., Ltd. 的松村明宏 (Akihiro Matsumura) 向 IPA 報告了此漏洞。
JPCERT/CC 在「資訊安全早期預警夥伴關係」下與開發人員協調。
[編輯:新增 JPCERT/CC 公告的連結]