漏洞信息详情

Apache Cordova/Adobe PhoneGap 安全漏洞

• CNNVD编号：CNNVD-201403-028
• 危害等级： 中危
  
• CVE编号： CVE-2012-6637
• 漏洞类型： 输入验证
• 发布时间： 2014-03-04
• 威胁类型： 远程
• 更新时间： 2014-05-13
• 厂        商： adobe
• 漏洞来源：

漏洞简介

Adobe PhoneGap是美国奥多比（Adobe）公司的一套开源的开发框架。Apache Cordova是美国阿帕奇（Apache）软件基金会的一套可使用HTML、CSS和Javascript开发移动应用程序的平台，也是驱动PhoneGap的核心引擎。

Apache Cordova 3.3.0及之前的版本和Adobe PhoneGap 2.9.0及之前的版本存在安全漏洞。远程攻击者可借助特制的域名利用该漏洞绕过白名单保护机制。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，详情请关注厂商主页：

http://www.apache.org/

参考网址

来源: BUGTRAQ

名称: 20140124 Security Vulnerabilities in Apache Cordova / PhoneGap

链接:http://seclists.org/bugtraq/2014/Jan/96

来源: www.internetsociety.org

链接:http://www.internetsociety.org/ndss2014/programme#session3

来源: www.cs.utexas.edu

链接:http://www.cs.utexas.edu/~shmat/shmat_ndss14nofrak.pdf

来源: packetstormsecurity.com

链接:http://packetstormsecurity.com/files/124954/apachecordovaphonegap-bypass.txt

来源: MLIST

名称: [oss-security] 20140207 Re: CVE request: multiple issues in Apache Cordova/PhoneGap

链接:http://openwall.com/lists/oss-security/2014/02/07/9

来源: labs.mwrinfosecurity.com

链接:http://labs.mwrinfosecurity.com/blog/2012/04/30/building-CMS.zone.ci/e/tags/htag.php?tag=Android target=_blank class=infotextkey>Android-javaJavascript-bridges/

受影响实体

• Adobe Phonegap:2.3.0:Rc1  
• Adobe Phonegap:2.3.0:Rc2  
• Adobe Phonegap:2.4.0  
• Adobe Phonegap:2.4.0:Rc1  
• Adobe Phonegap:2.5.0  

补丁

暂无