Electron CVE-2020-34777 iframe跨域权限绕过漏洞

用户希望我总结网页截图中的漏洞信息。 我需要提取以下关键信息： 1. 漏洞概述 (Description/Impact): 这是一个关于 函数的问题。当 , , , 或 参数为真时，如果传递给 的 origin 不是顶层页面 origin，而是请求页面的 origin，可能会导致恶意授予嵌入 iframe 的跨域权限。 2. 影响范围 (Affected versions): 截图右侧的表格显示受影响的版本是 。 3. 修复方案 (Fixed versions/Workarounds): 修复版本： (以及对应的 alpha/beta 版本)。 临时方案 (Workarounds)：在 中，使用 而不是 origin 参数或 来决定是否授予权限。 4. CVE ID: CVE-2020-34777。 5. POC/Exploit: 页面中没有提供具体的 POC 代码或利用代码，只有描述和修复建议。 现在，我将这些信息整理成简洁的中文 Markdown 格式。 草稿： 漏洞标题: Incorrect origin passed to permission request handler for iframe requests CVE ID: CVE-2020-34777 概述: 当 , , , 或 参数为 true 时， 函数传递给权限请求处理程序的 origin 参数错误。它传递的是顶层页面的 origin，而不是请求页面的 origin。这可能导致恶意授予嵌入 iframe 的跨域权限。 影响范围: electron 版本 = 38.8.6。 临时方案：在 中，使用 代替 origin 参数或 来判断是否授予权限。 检查是否有代码块：没有。 最终输出将遵循用户的格式要求。 漏洞总结 漏洞概述 标题: Incorrect origin passed to permission request handler for iframe requests (iframe 请求的权限请求处理程序传递了错误的 origin) CVE ID: CVE-2020-34777 描述: 当 , , , 或 参数为 时， 函数传递给权限请求处理程序的 参数是顶层页面的 origin，而不是请求页面的 origin。这可能导致恶意授予嵌入 iframe 的跨域权限。 影响: 请求权限的 URL 仍然可以通过 获取。已经检查 的应用不受影响。 影响范围 受影响版本: 修复方案 修复版本: (包括 , , 等后续版本) 临时方案 (Workarounds): 在 中，使用 而不是 参数或 来决定是否授予 , , , 或 权限。

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

Electron CVE-2020-34777 iframe跨域权限绕过漏洞

同源更多文章

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

Electron CVE-2020-34777 iframe跨域权限绕过漏洞

同源更多文章

目标达成感谢每一位支持者 — 我们达成了 100% 目标！