一、 漏洞 CVE-2018-1000006 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
GitHub Electron 版本在特定情况下存在协议处理程序漏洞,导致任意命令执行。此漏洞影响Windows 10、7或2008上注册了自定义协议处理程序的Electron应用程序。

## 影响版本
- 1.8.2-beta.3及更早版本
- 1.7.10及更早版本
- 1.6.15及更早版本

## 细节
Electron应用注册了自定义协议处理程序,如果用户点击了特别构造的URL,攻击者可以诱使应用程序执行任意命令。

## 影响
此漏洞已在版本1.8.2-beta.4、1.7.11和1.6.16中修复。使用受影响版本的Electron应用在Windows环境中运行时,需特别注意该漏洞带来的风险。攻击者可能借此执行任意命令,对系统安全造成威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
GitHub Electron versions 1.8.2-beta.3 and earlier, 1.7.10 and earlier, 1.6.15 and earlier has a vulnerability in the protocol handler, specifically Electron apps running on Windows 10, 7 or 2008 that register custom protocol handlers can be tricked in arbitrary command execution if the user clicks on a specially crafted URL. This has been fixed in versions 1.8.2-beta.4, 1.7.11, and 1.6.16.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
GitHub Electron 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
GitHub Electron是美国GitHub公司的一个应用程序开发框架。该框架支持使用JavaScript、HTML和CSS编写跨平台桌面应用程序。 GitHub Electron 1.8.2-beta.3及之前版本、1.7.10及之前版本和1.6.15及之前版本中的protocol handler存在安全漏洞。攻击者可借助特制的URL利用该漏洞执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-1000006 的公开POC
# POC 描述 源链接 神龙链接
1 The Demo for CVE-2018-1000006 https://github.com/CHYbeta/CVE-2018-1000006-DEMO POC详情
2 https://github.com/vulhub/vulhub/blob/master/electron/CVE-2018-1000006/README.md POC详情
三、漏洞 CVE-2018-1000006 的情报信息