关键信息概览 项目: jitsi-meet-electron 摘要: 多个远程代码执行问题 严重性: 高 影响版本: All < 2.3.0 修复日期: 2020-07-01 修复版本: 2.3.0 CVE编号: N/A 报告人: Juho Nurminen (Mattermost) 描述 存在多个可能导致远程代码执行(RCE)的问题: 通过UNC路径的RCE: 攻击者可以利用修改后的Jitsi Meet服务器访问公开的 shellOpenExternal 函数,打开用户路径中的自定义二进制文件。 因远程控制缺乏同意而导致的RCE: 攻击者可通过修改后的Jitsi Meet服务器,触发用户启用远程控制,从而执行远程命令。 通过原型污染的RCE: 攻击者可以利用修改后的Jitsi Meet服务器,通过原型污染绕过 shellOpenExternal 的检查,导致RCE。 解决方案 受限外部打开的URL: 查看修复代码 外部API现已被打包,用户机器外的iframe外不执行远程代码: 查看修复代码 已禁用远程控制: 查看修复代码