آسیبپذیری خواندن فایل محلی از طریق XSS در Electron-pdf
یک آسیبپذیری با شناسه CVE-2024-1648 و شدت بالا 7.5 در Electron-pdfکشف شده است که امکان خواندن فایل محلی از طریق XSS در سرور را برای مهاجم فراهم میآورد. این آسیبپذیری بهدلیل اینکه برنامه، محتوای HTML وارد شده توسط کاربر را بررسی و پاکسازی نمیکند رخ میدهد که در این صورت ورودیهای قابل کنترل توسط کاربر را خنثی نمیکند یا به اشتباه آن را خنثی میکند.
آسیبپذیری مذکور محصول Electron-pdf نسخه 20.0.0را تحت تاثیر قرار میدهد.
تاکنون وصله امنیتی خاصی برای این آسیبپذیری منتشر نشده است.