Vulnerabilidad en Tauri (CVE-2023-46115)

Tauri es un framework para crear archivos binarios para las principales plataformas de escritorio. Este aviso no describe una vulnerabilidad en el código base de Tauri en sí, sino una configuración incorrecta de uso común que podría provocar la filtración de la clave privada y la contraseña de la clave de actualización en aplicaciones Tauri empaquetadas que utilizan la interfaz Vite en una configuración específica. La documentación de Tauri utilizó una configuración de ejemplo insegura en "Vite guide" para mostrar cómo usar Tauri junto con Vite. Copiar el siguiente fragmento `envPrefix: ['VITE_', 'TAURI_'],` de esta guía en `vite.config.ts` de un proyecto Tauri lleva a agrupar `TAURI_PRIVATE_KEY` y `TAURI_KEY_PASSWORD` en el código de interfaz de Vite y por lo tanto filtrar este valor a la aplicación Tauri lanzada. El uso de `envPrefix: ['VITE_'],` o cualquier otro marco que no sea Vite significa que este aviso no lo afecta. Se recomienda a los usuarios que roten su clave privada de actualización si se ven afectados por esto (requiere Tauri CLI >=1.5.5). Después de actualizar la configuración de envPrefix, genere una nueva clave privada con `tauri signer generate`, guarde la nueva clave privada y actualice el valor `pubkey` del actualizador en `tauri.conf.json` con la nueva clave pública. Para actualizar su aplicación existente, la siguiente compilación de la aplicación debe firmarse con la clave privada anterior para que la aplicación existente la acepte.