Electron corrige une vulnérabilité d'exécution de code à distance impactant ses applications web

Une vulnérabilité dans les applications web s'exécutant sur Electron a été corrigée. Son exploitation permet l'activation de Node.js dans certaines applications Electron même lorsque le module est désactivé. Cette vulnérabilité permettrait à un attaquant d'exécuter du code à distance sur une plateforme lorsque celle-ci est affectée par des vulnérabilités de cross-site scripting (XSS) et est configurée de manière spécifique.

Informations
+

Impact

  • Exécution de code arbitraire

Criticité

  • CVSS v3 : 8.1

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Electron versions 1.7, 1.8, 2.0.0-beta configurées comme suit:

    • Dans "webPreferences", le paramètre "webviewTag" n'est pas explicitement valué à "False" ;

    • L'option "nativeWindowOption" est désactivée ;

    • Les événements "new-window" ne sont pas interceptés et les événements "event.newGuest" ne sont pas ignorés sans utiliser la balise d'option fournie.

CVE

  • CVE-2018-1000136

Recommandations
+

Correctifs

  • La vulnérabilité est corrigée à partir des versions 1.7.13, 1.8.4 et 2.0.0-beta.5 d'Electron.

Solution de contournement

  • Il n'existe pas actuellement de solution de contournement.