HUAWEI P30 JavaScript注入漏洞（CVE-2021-22331）预警

一、基本情况

近日，华为发布安全公告，修复了P30智能手机中存在一个JavaScript注入漏洞，相关漏洞编号：CVE-2021-22331。攻击者可将特定的应用程序请求发送到受影响的模块损害正常服务。目前官方已发布产品更新程序修复该漏洞。若用户收到系统更新提示后，建议安装此更新进行漏洞修复，做好资产自查以及预防工作，以免遭受黑客攻击。

二、 漏洞描述

Huawei P30是中国华为（Huawei）公司的一款智能手机。

该漏洞是由于模块无法充分验证某些输入。攻击者可以通过发送恶意应用程序请求以启动JavaScript注入来利用此漏洞，可能会损害正常服务。

三、 影响范围

HUAWEI P30 <10.1.0.165（C01E165R2P11）

HUAWEI P30 <11.0.0.118（C635E2R1P3）

HUAWEI P30 <11.0.0.120（C00E120R2P5）

HUAWEI P30 <11.0.0.138（C10E4R5P3）

HUAWEI P30 <11.0.0.138（C185E4R7P3）

HUAWEI P30 <11.0.0.138（C432E8R2P3）

HUAWEI P30 <11.0.0.138（C461E4R3P3）

HUAWEI P30 <11.0.0.138（C605E4R1P3）

HUAWEI P30 <11.0.0.138（C636E4R3P3）

四、 安全建议

建议用户通过手机自动更新功能更新至对应产品的更新程序进行漏洞修复。

五、 参考链接

https://www.huawei.com/en/psirt/security-advisories/huawei-sa-20210331-01-js-en

来源：https://cstis.cn/post/c234ab8a-172c-4f01-8689-0423e9b1dbfe