PT-2024-20059 · Clickup · Clickup Desktop
Mykola Grymalyuk
·
Publicado
2024-03-23
·
Atualizado
2025-09-18
·
CVE-2024-23755
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do ClickUp Desktop anteriores à 3.3.77
Descrição
A vulnerabilidade permite a injeção de código devido a configurações específicas do Electron Fuses, com proteção inadequada contra injeção de código por meio de parâmetros como
RunAsNode. Isso afeta tanto as versões para macOS quanto para Windows. Com mais de 10 milhões de usuários, o risco de exploração é significativo, podendo permitir que invasores locais acessem dados confidenciais.Recomendações
Para versões do ClickUp Desktop anteriores à 3.3.77, atualize para a versão 3.3.77 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso a configurações como
RunAsNode para minimizar o risco de exploração.Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clickup Desktop