Уязвимость в Apache Cordova

Question

Недавно я загрузил приложение для Android в Google Play, и у меня есть известное предупреждение об уязвимости безопасности Apache Cordova security vulnerability. Я немного смущен, потому что я использую Cordova CLI 6.0.0 и Cordova Android 5.1.1. Что я делаю неправильно?

Информация

проекта:

>cordova platform ls 
Installed platforms: android 5.1.1 
Available platforms: amazon-fireos, blackberry10, browser, firefoxos, webos, windows, windows8, wp8 

>cordova --version 
6.0.0 

>cordova plugin ls 
cordova-plugin-device 1.1.2-dev "Device" 
cordova-plugin-dialogs 1.2.1-dev "Notification" 
cordova-plugin-file 4.1.2-dev "File" 
cordova-plugin-file-transfer 1.5.1-dev "File Transfer" 
cordova-plugin-geolocation 2.1.1-dev "Geolocation" 
cordova-plugin-globalization 1.0.3-dev "Globalization" 
cordova-plugin-inappbrowser 1.3.1-dev "InAppBrowser" 
cordova-plugin-network-information 1.2.1-dev "Network Information" 
cordova-plugin-splashscreen 3.2.1-dev "Splashscreen" 
cordova-plugin-whitelist 1.2.2-dev "Whitelist" 

Я пытался добавить/удалить следующие строки в файле config.xml

<plugin name="cordova-plugin-whitelist" spec="1" /> 
<access origin="*" /> 
<allow-intent href="http://*/*" /> 
<allow-intent href="https://*/*" /> 
<allow-intent href="tel:*" /> 
<allow-intent href="sms:*" /> 
<allow-intent href="mailto:*" /> 
<allow-intent href="geo:*" /> 
<platform name="android"> 
    <allow-intent href="market:*" /> 
</platform> 

Я также попытался добавление и удаление следующую строку в index.html

<meta http-equiv="Content-Security-Policy" content="default-src 'self' data: gap: https://ssl.gstatic.com 'unsafe-eval'; style-src 'self' 'unsafe-inline'; media-src *"> 

Это адрес электронной почты, который я получил от Google Play Team:

Hello Google Play Developer,

Мы отказались XXXXXX, пакет ID XXXXXXX, для нарушающую Вредоносной политики поведения. Если вы отправили обновление, предыдущая версия вашего приложения по-прежнему доступна в Google Play.

Это приложение использует программное обеспечение, содержащее уязвимости безопасности для пользователей .

Ниже приведен список уязвимостей и соответствующих APK версиях, которые были обнаружены в вашем недавнем представлении. Обновите свои приложения как можно скорее и увеличьте номер версии обновленного APK.

Уязвимость APK Version (s) Apache Cordova Уязвимости были исправлены в Apache Cordova v.3.5.1.

Дополнительную информацию и следующие шаги можно найти в этом Google Help Center article.

Answer 1

Как сказал @jcesarmobile, в проекте cordova есть несколько файлов cordova.js. Я должен был обновить не только основной файл cordova.js в папке www, но мне пришлось вручную обновлять этот файл в других папках (например,/platform/android/assets/www); то я смог загрузить новую версию без предупреждений безопасности в Google Play.

Answer 2

Длинный выстрел - и один явно не упоминается Google, хотя они ищут XSS воздействия - но вы, возможно, добавили «небезопасный-инлайн» к <meta http-equiv="Content-Security-Policy" content="default-src в вашем index.html, чтобы рядный Jscript быть включены?