android-Apache Cordova的Mobilefirst漏洞版本

我刚刚从Google Play收到了有关我的MobileFirst 6.3应用程序的邮件：请尽快将您的应用程序迁移到Apache Cordova v.4.1.1或更高版本.

我在MobileFirst 7.1上拥有我的应用程序的新版本,但是此新版本仅在Cordova v 3.7.0上运行.

哪个版本的MobileFirst将基于v4.1.1,如果尚未发布,我们什么时候可以期待它？您有什么建议的方法,在我们仍然可以或等待将Cordova 4.1.1包含在MobileFirst中的同时,快速发布基于cordova 3.7.0的应用程序？

根据要求：以下页面包含有关漏洞的更多详细信息：
https://support.google.com/faqs/answer/6325474

解决方法:

Cordova 4.1.1不提供任何版本的Worklight / MobileFirst.

然而,
IBM修补了Worklight / MobileFirst中随附的Cordova版本,并修复了已发现的漏洞.

有关Google的特别声明,请参见此处：https://mobilefirstplatform.ibmcloud.com/blog/2016/02/16/ibm-mobilefirst-platform-foundation-responds-to-google-play-store-announcement-of-blocking-apps-using-vulnerable-cordova-versions/

一般来说：

确保您使用的是最新可用的Worklight / MobileFirst iFix,并重新构建了应用程序才能使用打补丁的Cordova.

请参阅下面的详细信息：

> https://mobilefirstplatform.ibmcloud.com/blog/2016/02/24/cve-2015-5256-apache-cordova-vulnerable-to-improper-application-of-whitelist-restrictions-on-android/
> https://developer.ibm.com/mobilefirstplatform/2015/12/11/cve-2015-5257cve-2015-8320-weak-randomization-of-bridgesecret-for-apache-cordova-android/
> https://developer.ibm.com/mobilefirstplatform/2015/07/30/cve-2015-1835-remote-exploit-in-apache-cordova/
> https://developer.ibm.com/mobilefirstplatform/2015/10/08/cve-2015-5204-http-header-injection-vulnerability-in-apache-cordova-android-file-transfer-plugin/

标签：ibm-mobilefirst,cordova,android
来源： https://codeday.me/bug/20191119/2033206.html