shared_preferences_android 漏洞 · GHSA-3hpf-ff72-j67p · GitHub 安全公告数据库
平台
-
GitHub Copilot: 用AI编写更好的代码
-
GitHub Spark (新): 构建和部署智能应用
-
GitHub Models (新): 管理和比较提示词
-
GitHub Advanced Security: 查找并修复漏洞
-
Actions: 自动化任何工作流
-
Codespaces: 即时开发环境
-
Code Review: 管理代码变更
-
Discussions: 在代码之外进行协作
-
Code Search: 找到更多,搜索更少
漏洞详情
依赖项警报: 0
包管理器: Pub
受影响的包: shared_preferences_android (Pub)
受影响版本: <= 2.3.3
已修复版本: 2.3.4
描述
影响
由于某些数据类型无法通过可用的存储选项进行原生表示,shared_preferences_android 通过序列化和反序列化特殊字符串前缀来存储这些无法表示的数据类型。这导致可以反序列化任意类,从而可能执行任意代码。
因此,包含偏好设置的文件可以被恶意的文件覆盖,其中包含一个反序列化有效负载,一旦数据从磁盘加载就会触发。
补丁 版本 2.3.4
变通方案
更新到包含修复此漏洞更改的 shared_preferences_android 最新版本。
参考 待定
更多信息 请参阅我们的社区页面以找到联系团队的方式。
致谢 非常感谢来自 SonarSource 的 Oskar Zeino-Mahmalat 发现并报告此问题!
参考
- GHSA-3hpf-ff72-j67p
- flutter/packages@15501ec
发布者: jtmcdole (发布到 flutter/packages,2024年12月6日)
发布到 GitHub 安全公告数据库: 2024年12月6日
已审核: 2024年12月6日
最后更新: 2024年12月9日
严重性
低 (CVSS 总体评分: 3.0)
此评分根据通用漏洞评分系统(CVSS)计算整体漏洞严重性,范围从0到10。
CVSS v3 基础指标
- 攻击向量: 本地
- 攻击复杂度: 高
- 所需权限: 高
- 用户交互: 无
- 范围: 未改变
- 保密性影响: 无
- 完整性影响: 低
- 可用性影响: 低
CVSS向量字符串: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:U/C:N/I:L/A:L
EPSS 评分: 无数据
弱点
弱点: CWE-502 - 反序列化不受信任的数据 产品在未充分确保结果数据有效的情况下反序列化了不受信任的数据。在 MITRE 上了解更多。
标识符
- CVE ID: 暂无已知CVE
- GHSA ID: GHSA-3hpf-ff72-j67p
源代码
- flutter/packages 仓库
致谢人员
- 报告者: oskar-zeinomahmalat-sonarsource
- 协调员: reidbaker
- 修复开发者: stuartmorgan-g