Dariushoule

**Nome do Software Vulnerável e Versões Afetadas** Versões do Electron anteriores a 35.7.5 Versões do Electron 36.0.0-alpha.1 até 36.8.0 Versões do Electron 37.0.0-alpha.1 até 37.3.1 Versões do Electron 38.0.0-alpha.1 até 38.0.0-beta.6 **Descrição** O Electron é um framework utilizado para construir aplicativos desktop multiplataforma com JavaScript, HTML e CSS. Existe uma falha na qual as verificações de integridade ASAR podem ser burladas através da modificação de recursos. Este problema impacta aplicativos que possuem ambos os fuses `embeddedAsarIntegrityValidation` e `onlyLoadAppFromAsar` habilitados. A vulnerabilidade permite subverter verificações de integridade de código, potencialmente permitindo backdoors locais em aplicativos como Signal, 1Password e Slack. A questão explora falhas nos snapshots de heap do V8, permitindo a execução de código JavaScript não assinado. **Recomendações** Versões do Electron anteriores a 35.7.5: Atualize para a versão 35.7.5 ou posterior. Versões do Electron 36.0.0-alpha.1 até 36.8.0: Atualize para a versão 36.8.1 ou posterior. Versões do Electron 37.0.0-alpha.1 até 37.3.1: Atualize para a versão 37.3.1 ou posterior. Versões do Electron 38.0.0-alpha.1 até 38.0.0-beta.6: Atualize para a versão 38.0.0-beta.6 ou posterior.

**Nome do software vulnerável e versões afetadas** Versões do Vite anteriores à 2.9.17 Versões do Vite anteriores à 3.2.8 Versões do Vite anteriores à 4.5.2 Versões do Vite anteriores à 5.0.12 **Descrição** A opção do servidor de desenvolvimento do Vite `server.fs.deny` pode ser contornada em sistemas de arquivos que não diferenciam maiúsculas de minúsculas usando versões de nomes de arquivos com maiúsculas e minúsculas alteradas, afetando notavelmente servidores hospedados no Windows. Esse contorno é possível porque o `picomatch` usa por padrão a correspondência glob com distinção de maiúsculas e minúsculas, mas o servidor de arquivos não faz essa distinção. Ao solicitar caminhos brutos do sistema de arquivos usando maiúsculas e minúsculas, o comparador derivado de `config.server.fs.deny` não consegue bloquear o acesso a arquivos confidenciais. **Recomendações** Para versões anteriores à 2.9.17, atualize para a versão 2.9.17 ou posterior. Para versões anteriores à 3.2.8, atualize para a versão 3.2.8 ou posterior. Para versões anteriores à 4.5.2, atualize para a versão 4.5.2 ou posterior. Para versões anteriores à 5.0.12, atualize para a versão 5.0.12 ou posterior. Como solução temporária, considere restringir o acesso aos servidores de desenvolvimento até que um patch esteja disponível.