PT-2022-19505 · Electron · Electron
Marshallofsound
·
Publicado
2022-06-13
·
Atualizado
2022-06-27
·
CVE-2022-29257
CVSS v3.1
6.6
Média
| Vetor | AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Electron anteriores à 18.0.0-beta.6
Versões do Electron anteriores à 17.2.0
Versões do Electron anteriores à 16.2.6
Versões do Electron anteriores à 15.5.5
Descrição
Uma vulnerabilidade no Electron permite que invasores que tenham controle sobre o servidor de atualização ou o armazenamento de atualizações de um determinado aplicativo forneçam pacotes de atualização criados de forma maliciosa que passam pela verificação de validação de assinatura de código, mas contêm código malicioso em alguns componentes. Esse tipo de ataque exigiria privilégios significativos na própria infraestrutura de atualização automática da vítima em potencial, e a facilidade desse ataque depende inteiramente da segurança da infraestrutura da vítima em potencial.
Recomendações
Atualize para a versão 18.0.0-beta.6 do Electron ou posterior
Atualize para a versão 17.2.0 do Electron ou posterior
Atualize para a versão 16.2.6 do Electron ou posterior
Atualize para a versão 15.5.5 do Electron ou posterior
Não há soluções alternativas conhecidas para este problema, portanto, é necessário atualizar para uma versão corrigida do Electron.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Electron