CVE-2025-55305

Nome do Software Vulnerável e Versões Afetadas Versões do Electron anteriores a 35.7.5 Versões do Electron 36.0.0-alpha.1 até 36.8.0 Versões do Electron 37.0.0-alpha.1 até 37.3.1 Versões do Electron 38.0.0-alpha.1 até 38.0.0-beta.6

Descrição O Electron é um framework utilizado para construir aplicativos desktop multiplataforma com JavaScript, HTML e CSS. Existe uma falha na qual as verificações de integridade ASAR podem ser burladas através da modificação de recursos. Este problema impacta aplicativos que possuem ambos os fuses embeddedAsarIntegrityValidation e onlyLoadAppFromAsar habilitados. A vulnerabilidade permite subverter verificações de integridade de código, potencialmente permitindo backdoors locais em aplicativos como Signal, 1Password e Slack. A questão explora falhas nos snapshots de heap do V8, permitindo a execução de código JavaScript não assinado.

Recomendações Versões do Electron anteriores a 35.7.5: Atualize para a versão 35.7.5 ou posterior. Versões do Electron 36.0.0-alpha.1 até 36.8.0: Atualize para a versão 36.8.1 ou posterior. Versões do Electron 37.0.0-alpha.1 até 37.3.1: Atualize para a versão 37.3.1 ou posterior. Versões do Electron 38.0.0-alpha.1 até 38.0.0-beta.6: Atualize para a versão 38.0.0-beta.6 ou posterior.