Vulnerabilidad en Electron (CVE-2023-44402)
Severidad:
ALTA
Type:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
01/12/2023
Última modificación:
06/12/2023
Descripción
Electron es un framework de código abierto para escribir aplicaciones de escritorio multiplataforma utilizando JavaScript, HTML y CSS. Esto solo afecta a las aplicaciones que tienen habilitados los fusibles "embeddedAsarIntegrityValidation" y "onlyLoadAppFromAsar". Las aplicaciones sin estos fusibles habilitados no se ven afectadas. Este problema es específico de macOS, ya que actualmente estos fusibles solo son compatibles con macOS. Específicamente, este problema solo puede explotarse si su aplicación se inicia desde un sistema de archivos en el que el atacante también tiene acceso de escritura, es decir, la capacidad de editar archivos dentro del paquete `.app` en macOS contra el cual se supone que protegen estos fusibles. No existen workarounds en la aplicación; debe actualizar a una versión parcheada de Electron.
Impacto
Puntuación base 3.x
7.00
Severidad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* | 22.3.24 (incluyendo) | |
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* | 23.0.0 (incluyendo) | 23.3.14 (incluyendo) |
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* | 24.0.0 (incluyendo) | 24.8.3 (incluyendo) |
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* | 25.0.0 (incluyendo) | 25.8.1 (incluyendo) |
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* | 26.0.0 (incluyendo) | 26.2.1 (incluyendo) |
cpe:2.3:a:electronjs:electron:27.0.0:alpha1:*:*:*:node.js:*:* | ||
cpe:2.3:a:electronjs:electron:27.0.0:alpha2:*:*:*:node.js:*:* | ||
cpe:2.3:a:electronjs:electron:27.0.0:alpha3:*:*:*:node.js:*:* | ||
cpe:2.3:a:electronjs:electron:27.0.0:alpha4:*:*:*:node.js:*:* | ||
cpe:2.3:a:electronjs:electron:27.0.0:alpha5:*:*:*:node.js:*:* | ||
cpe:2.3:a:electronjs:electron:27.0.0:alpha6:*:*:*:node.js:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página