Unknown · Electron-Updater · CVE-2024-39698
**Nome do software vulnerável e versões afetadas**
Versões do electron-updater anteriores à 6.3.0-alpha.6
**Descrição**
O problema diz respeito à rotina de validação de assinatura para aplicativos Electron no Windows, implementada no arquivo `packages/electron-updater/src/windowsExecutableCodeSignatureVerifier.ts`. Devido ao shell circundante, uma primeira passagem pelo `cmd.exe` expande qualquer variável de ambiente encontrada na linha de comando acima, criando uma situação em que o `verifySignature()` pode ser induzido a validar o certificado de um arquivo diferente daquele que acabou de ser baixado. Se a etapa for bem-sucedida, a atualização maliciosa será executada mesmo que sua assinatura seja inválida. Esse ataque pressupõe um manifesto de atualização comprometido, como um servidor comprometido, um ataque Man-in-the-Middle se obtido via HTTP ou Cross-Site Scripting para direcionar o aplicativo a um servidor de atualização malicioso.
**Recomendações**
Para versões anteriores à 6.3.0-alpha.6, atualize para a versão 6.3.0-alpha.6 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso à função `verifySignature()` ou ao arquivo `windowsExecutableCodeSignatureVerifier.ts` até que um patch seja aplicado. Evite usar variáveis de ambiente em argumentos de linha de comando para minimizar o risco de exploração.