安全扫描后 存在高危 中危 低危漏洞
vvipLin
- 发布:2021-04-07 20:04
- 更新:2021-04-07 20:13
- 阅读:599
【报Bug】3.1.2离线打包,android apk的高危中危低危漏洞,扫描漏洞前已使用 爱加密加固过。但框架中还是有好几个高危 中危 低危漏洞。烦请官方协助解决。
分类:uni-app
产品分类: uniapp/App
PC开发环境操作系统: Mac
PC开发环境操作系统版本号: 10.15.7
HBuilderX类型: 正式
HBuilderX版本号: 3.1.2
手机系统: Android
手机系统版本号: Android 10
手机厂商: 华为
手机机型: mate30 pro
页面类型: vue
打包方式: 云端
项目创建方式: HBuilderX
操作步骤:
预期结果:
无漏洞
无漏洞
实际结果:
安全扫描后 存在高危 中危 低危漏洞
安全扫描后 存在高危 中危 低危漏洞
bug描述:
3.1.2离线打包,android apk的高危中危低危漏洞,扫描漏洞前已使用 爱加密加固过。但框架中还是有好几个高危 中危 低危漏洞。烦请官方协助解决。
vvipLin (作者)
万分感谢,升级后我再检测试试。
2021-04-09 09:38
vvipLin (作者)
使用最新的alpha版本3.1.10的sdk打包。还是能扫出Android-gif-Drawable远程代码执行漏洞。
第1处
file:lib/x86/libpl_droidsonroids_gif.so
method:
code:
第2处
file:lib/armeabi-v7a/libpl_droidsonroids_gif.so
method:
code:
Web Storage数据泄露风险
第1处
file:/io/dcloud/all.js
method:
code:ction(t){e&&e()},null);window.localStorage.clear(),window.se
ssionStorage.clear(),t.
第2处
file:/io/dcloud/all.js
method:
code:w.localStorage.clear(),window.sessionStorage.clear(),t.exec(
n,"clear",[i])},calculate
存在StrandHogg漏洞。
2021-04-23 13:25
vvipLin (作者)
烦请官方再确认下Android-gif-Drawable版本是否确实是没有漏洞的版本?
2021-04-23 13:28
DCloud_Android_ST
回复 vvipLin: 云打包吗 我这边已经升级了最新的gif库了
2021-04-23 14:39
vvipLin (作者)
回复 DCloud_Android_ST: 不是云打包。是下载的离线sdk。alpha 3.1.10的。
2021-04-23 15:14
DCloud_Android_ST
回复 vvipLin: qq提供下吧
2021-04-23 15:21