BDU:2025-12971
Уязвимость функций embeddedAsarIntegrityValidation() и onlyLoadAppFromAsar() программной платформы для создания приложений Electron, позволяющая нарушителю получить несанкционированный доступ на чтение и изменение данных
📄 Описание
Уязвимость функций embeddedAsarIntegrityValidation() и onlyLoadAppFromAsar() программной платформы для создания приложений Electron связана с включением функций из недостоверной контролируемой области. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ на чтение и изменение данных
🖥️ Уязвимое ПО
Electron
Наименование ПО: Electron
Версия ПО: до 35.7.5 (Electron), до 36.8.1 (Electron), до 37.3.1 (Electron), до 38.0.0-beta.6 (Electron)
Тип ПО: Прикладное ПО информационных систем
ОС / платформа: —
⚙️ Технические сведения
📊 CVSS
CVSS 2.0
AV:L/AC:L/Au:S/C:P/I:C/A:P
CVSS 3.0
AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:H/A:L
⚠️ Уровень опасности
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,7)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)
🔗 Источники и меры
🔗 https://blog.trailofbits.com/2025/09/03/subverting...
🔗 https://github.com/electron/electron/security/advi...
🔗 https://github.com/electron/electron/commit/23a029...
🔗 https://github.com/electron/electron/commit/3f9251...
🔗 https://github.com/electron/electron/commit/fdf29c...
🔗 https://github.com/electron/electron/pull/48101
🔗 https://github.com/electron/electron/pull/48102
🔗 https://github.com/electron/electron/pull/48103
🔗 https://github.com/electron/electron/pull/48104
🏷️ Идентификаторы
📅 Даты