Electron 远程命令执行漏洞(CVE-2018-1000006)
Vulnhub官方复现教程
https://github.com/vulhub/vulhub/blob/master/electron/CVE-2018-1000006/README.zh-cn.md
漏洞原理
Electron是由Github开发,用HTML,CSS和JavaScript来构建跨平台桌面应用程序的一个开源库。 Electron通过将Chromium和Node.js合并到同一个运行时环境中,并将其打包为Mac,Windows和Linux系统下的应用来实现这一目的。
在Windows下,如果Electron开发的应用注册了Protocol Handler(允许用户在浏览器中召起该应用),则可能出现一个参数注入漏洞,并最终导致在用户侧执行任意命令。
参考链接:Electron < v1.8.2-beta.4 远程命令执行漏洞—【CVE-2018-1000006】
复现漏洞
启动环境
https://blog.csdn.net/JiangBuLiu/article/details/93853056
进入路径为
cd /root/vulhub/electron/CVE