Обновление безопасности для подключаемого модуля Push-уведомлений Adobe PhoneGap | APSB18-15
Идентификатор бюллетеня Дата публикации Приоритет
APSB18-15 10 апреля 2018 г. 3

Сводка

Компания Adobe выпустила обновление для подключаемого модуля Push-уведомлений Adobe PhoneGap. В этом обновлении устранена уязвимость Same-Origin Method Execution (SOME), позволяющая выполнять произвольные методы на уязвимом сайте (CVE-2018-4943), которая существует в приложениях PhoneGap, созданных с помощью затронутой версии подключаемого модуля Push-уведомлений. Эта уязвимость может быть использована для обмана пользователей приложений PhoneGap, когда они нажимают на кнопки мыши и выполняют другие непреднамеренные действия.

Затронутые версии

Продукт Затронутые версии Платформа
Подключаемый модуль Push-уведомлений Adobe PhoneGap 1.8.0 и более ранних версий Все

Решение

Компания Adobe присвоила этому обновлению следующий рейтинг приоритета и рекомендует пользователям обновить установленное программное обеспечение до последней версии:

Продукт Обновленная версия Платформа Рейтинг приоритета Доступность
Подключаемый модуль Push-уведомлений Adobe PhoneGap 2.1.0 Все 3 Github

Примечание.

После обновления до последней версии подключаемого модуля авторы приложений должны перекомпилировать любые приложения, созданные с помощью PhoneGap при использовании нового подключаемого модуля.    

Сведения об уязвимости

Категория уязвимости Влияние уязвимости Серьезность Номера CVE
Выполнение произвольных методов на уязвимом сайте Выполнение кода JavaScript в контексте приложения PhoneGap Важная CVE-2018-4943

Благодарности

Компания Adobe выражает благодарность Юхо Нурминену, представителю 2NS - Second Nature Security Oy (CVE-2018-4943), за сообщение об этой проблеме и за сотрудничество с компанией Adobe в обеспечении защиты наших клиентов.