NVD脆弱性詳細
Exploit、PoC検索
CVE-2018-16202
概要

Directory traversal vulnerability in cordova-plugin-ionic-webview versions prior to 2.2.0 (not including 2.0.0-beta.0, 2.0.0-beta.1, 2.0.0-beta.2, and 2.1.0-0) allows remote attackers to access arbitrary files via unspecified vectors.

公表日 2019年1月10日8:29
登録日 2021年3月1日19:02
最終更新日 2024年11月21日12:52
CVSS3.1 : HIGH
スコア 8.6
ベクター CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更あり
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
CVSS2.0 : MEDIUM
スコア 5.0
ベクター AV:N/AC:L/Au:N/C:P/I:N/A:N
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃前の認証要否(Au) 不要
機密性への影響(C)
完全性への影響(I) なし
可用性への影響(A) なし
全ての特権を取得 いいえ
ユーザー権限を取得 いいえ
その他の権限を取得 いいえ
ユーザー操作が必要 いいえ
影響を受けるソフトウェアの構成
構成1 以上 以下 より上 未満
cpe:2.3:a:ionicframework:ionic_web_view:*:*:*:*:*:cordova:*:* 1.2.1
cpe:2.3:a:ionicframework:ionic_web_view:2.0.0:-:*:*:*:cordova:*:*
cpe:2.3:a:ionicframework:ionic_web_view:*:*:*:*:*:cordova:*:* 2.0.1 2.2.0
関連情報、対策とツール
共通脆弱性一覧
JVN脆弱性情報
cordova-plugin-ionic-webview におけるパストラバーサルの脆弱性
タイトル cordova-plugin-ionic-webview におけるパストラバーサルの脆弱性
概要

Ionic が提供する cordova-plugin-ionic-webview には、パストラバーサル (CWE-22) の脆弱性が存在します。 この脆弱性情報は、発見者が製品提供元へ直接報告した後に IPA に届出をし、発見者の調整依頼に基づき JPCERT/CC が製品提供元との調整をおこない、JVN での公表に至りました。 発見者:三井物産セキュアディレクション株式会社 阪本達矢 氏、望月岳 氏

想定される影響 遠隔の第三者によって、iOS デバイス内のファイルやアプリケーションに関連するファイルが取得され、ファイル内の情報 (アプリケーションの設定やコード、アプリケーションが保存した情報等) が漏洩する可能性があります。
対策

[最新版の cordova-plugin-ionic-webview を取込み iOS アプリケーションを作成する] 本脆弱性は、cordova-plugin-ionic-webview 2.2.0 で修正されています。 cordova-plugin-ionic-webview を取り込んで iOS アプリケーションを開発している製品開発者は、最新版の cordova-plugin-ionic-webview を取り込み、アプリケーションを作成することで、本脆弱性が解消されます。
公表日 2018年12月21日0:00
登録日 2018年12月21日12:05
最終更新日 2019年8月28日10:03
影響を受けるシステム
Ionic
cordova-plugin-ionic-webview 2.2.0 より前のバージョン
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
変更履歴
No 変更内容 変更日
1 [2018年12月21日]
  掲載		 2018年12月21日12:05
2 [2019年08月28日]
  参考情報:National Vulnerability Database (NVD) (CVE-2018-16202) を追加		 2019年8月28日10:03