CVE

Vulnerabilidad en Electron (CVE-2023-44402)

Severidad:
ALTA
Type:
CWE-345 Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
01/12/2023
Última modificación:
06/12/2023

Descripción

Electron es un framework de código abierto para escribir aplicaciones de escritorio multiplataforma utilizando JavaScript, HTML y CSS. Esto solo afecta a las aplicaciones que tienen habilitados los fusibles "embeddedAsarIntegrityValidation" y "onlyLoadAppFromAsar". Las aplicaciones sin estos fusibles habilitados no se ven afectadas. Este problema es específico de macOS, ya que actualmente estos fusibles solo son compatibles con macOS. Específicamente, este problema solo puede explotarse si su aplicación se inicia desde un sistema de archivos en el que el atacante también tiene acceso de escritura, es decir, la capacidad de editar archivos dentro del paquete `.app` en macOS contra el cual se supone que protegen estos fusibles. No existen workarounds en la aplicación; debe actualizar a una versión parcheada de Electron.

Impacto

Vector 3.x
CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.00 ALTA
Vector: CVSS:3.1/AV:L/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.00
Severidad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* 22.3.24 (incluyendo)
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* 23.0.0 (incluyendo) 23.3.14 (incluyendo)
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* 24.0.0 (incluyendo) 24.8.3 (incluyendo)
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* 25.0.0 (incluyendo) 25.8.1 (incluyendo)
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* 26.0.0 (incluyendo) 26.2.1 (incluyendo)
cpe:2.3:a:electronjs:electron:27.0.0:alpha1:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:27.0.0:alpha2:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:27.0.0:alpha3:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:27.0.0:alpha4:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:27.0.0:alpha5:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:27.0.0:alpha6:*:*:*:node.js:*:*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información