CVE-2024-23746

Miro Desktop versão 0.8.18

A vulnerabilidade está relacionada ao gerenciamento incorreto da geração de código na plataforma de colaboração digital Miro no macOS, o que pode permitir que um invasor remoto execute código arbitrário. A exploração envolve uma série complexa de etapas, incluindo a contornar um requisito do kTCCServiceSystemPolicyAppBundles por meio de uma cópia de arquivo, uma renomeação de app.app/Contents, uma modificação do asar e uma renomeação de volta para app.app/Contents. Isso pode ser viável em alguns ambientes.

Para a versão 0.8.18 do Miro Desktop, considere desativar a funcionalidade de injeção de código do Electron até que um patch esteja disponível. Restrinja o acesso ao diretório app.app/Contents para minimizar o risco de exploração. Evite usar o recurso de modificação do asar na versão afetada até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.