Vulnerability Details CVE-2021-39184
Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. A vulnerability in versions prior to 11.5.0, 12.1.0, and 13.3.0 allows a sandboxed renderer to request a "thumbnail" image of an arbitrary file on the user's system. The thumbnail can potentially include significant parts of the original file, including textual data in many cases. Versions 15.0.0-alpha.10, 14.0.0, 13.3.0, 12.1.0, and 11.5.0 all contain a fix for the vulnerability. Two workarounds aside from upgrading are available. One may make the vulnerability significantly more difficult for an attacker to exploit by enabling `contextIsolation` in one's app. One may also disable the functionality of the `createThumbnailFromPath` API if one does not need it.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.004
EPSS Ranking 57.7%
CVSS Severity
CVSS v3 Score 6.8
CVSS v2 Score 5.0
References
Products affected by CVE-2021-39184
-
cpe:2.3:a:electronjs:electron:10.1.0
-
cpe:2.3:a:electronjs:electron:10.1.1
-
cpe:2.3:a:electronjs:electron:10.1.2
-
cpe:2.3:a:electronjs:electron:10.1.3
-
cpe:2.3:a:electronjs:electron:10.1.4
-
cpe:2.3:a:electronjs:electron:10.1.5
-
cpe:2.3:a:electronjs:electron:10.1.6
-
cpe:2.3:a:electronjs:electron:10.1.7
-
cpe:2.3:a:electronjs:electron:10.2.0
-
cpe:2.3:a:electronjs:electron:10.3.0
-
cpe:2.3:a:electronjs:electron:10.3.1
-
cpe:2.3:a:electronjs:electron:10.3.2
-
cpe:2.3:a:electronjs:electron:10.4.0
-
cpe:2.3:a:electronjs:electron:10.4.1
-
cpe:2.3:a:electronjs:electron:10.4.2
-
cpe:2.3:a:electronjs:electron:10.4.3
-
cpe:2.3:a:electronjs:electron:10.4.4
-
cpe:2.3:a:electronjs:electron:10.4.5
-
cpe:2.3:a:electronjs:electron:10.4.6
-
cpe:2.3:a:electronjs:electron:10.4.7
-
cpe:2.3:a:electronjs:electron:11.0.0
-
cpe:2.3:a:electronjs:electron:11.0.1
-
cpe:2.3:a:electronjs:electron:11.0.2
-
cpe:2.3:a:electronjs:electron:11.0.3
-
cpe:2.3:a:electronjs:electron:11.0.4
-
cpe:2.3:a:electronjs:electron:11.0.5
-
cpe:2.3:a:electronjs:electron:11.1.0
-
cpe:2.3:a:electronjs:electron:11.1.1
-
cpe:2.3:a:electronjs:electron:11.2.0
-
cpe:2.3:a:electronjs:electron:11.2.1
-
cpe:2.3:a:electronjs:electron:11.2.2
-
cpe:2.3:a:electronjs:electron:11.2.3
-
cpe:2.3:a:electronjs:electron:11.3.0
-
cpe:2.3:a:electronjs:electron:11.4.0
-
cpe:2.3:a:electronjs:electron:11.4.1
-
cpe:2.3:a:electronjs:electron:11.4.10
-
cpe:2.3:a:electronjs:electron:11.4.2
-
cpe:2.3:a:electronjs:electron:11.4.3
-
cpe:2.3:a:electronjs:electron:11.4.4
-
cpe:2.3:a:electronjs:electron:11.4.5
-
cpe:2.3:a:electronjs:electron:11.4.6
-
cpe:2.3:a:electronjs:electron:11.4.7
-
cpe:2.3:a:electronjs:electron:11.4.8
-
cpe:2.3:a:electronjs:electron:11.4.9
-
cpe:2.3:a:electronjs:electron:12.0.0
-
cpe:2.3:a:electronjs:electron:12.0.1
-
cpe:2.3:a:electronjs:electron:12.0.10
-
cpe:2.3:a:electronjs:electron:12.0.11
-
cpe:2.3:a:electronjs:electron:12.0.12
-
cpe:2.3:a:electronjs:electron:12.0.13
-
cpe:2.3:a:electronjs:electron:12.0.14
-
cpe:2.3:a:electronjs:electron:12.0.2
-
cpe:2.3:a:electronjs:electron:12.0.3
-
cpe:2.3:a:electronjs:electron:12.0.4
-
cpe:2.3:a:electronjs:electron:12.0.5
-
cpe:2.3:a:electronjs:electron:12.0.6
-
cpe:2.3:a:electronjs:electron:12.0.7
-
cpe:2.3:a:electronjs:electron:12.0.8
-
cpe:2.3:a:electronjs:electron:12.0.9
-
cpe:2.3:a:electronjs:electron:13.0.0
-
cpe:2.3:a:electronjs:electron:13.0.1
-
cpe:2.3:a:electronjs:electron:13.1.0
-
cpe:2.3:a:electronjs:electron:13.1.1
-
cpe:2.3:a:electronjs:electron:13.1.2
-
cpe:2.3:a:electronjs:electron:13.1.3
-
cpe:2.3:a:electronjs:electron:13.1.4
-
cpe:2.3:a:electronjs:electron:13.1.5
-
cpe:2.3:a:electronjs:electron:13.1.6
-
cpe:2.3:a:electronjs:electron:13.1.7
-
cpe:2.3:a:electronjs:electron:13.1.8
-
cpe:2.3:a:electronjs:electron:13.1.9
-
cpe:2.3:a:electronjs:electron:13.2.0
-
cpe:2.3:a:electronjs:electron:13.2.1
-
cpe:2.3:a:electronjs:electron:13.2.2
-
cpe:2.3:a:electronjs:electron:13.2.3
-
cpe:2.3:a:electronjs:electron:14.0.0
-
cpe:2.3:a:electronjs:electron:15.0.0