Une vulnérabilité dans les applications web s'exécutant sur Electron a été corrigée. Son exploitation permet l'activation de Node.js dans certaines applications Electron même lorsque le module est désactivé. Cette vulnérabilité permettrait à un attaquant d'exécuter du code à distance sur une plateforme lorsque celle-ci est affectée par des vulnérabilités de cross-site scripting (XSS) et est configurée de manière spécifique.
Impact
- Exécution de code arbitraire
Criticité
- CVSS v3 : 8.1
Existence d’un code d’exploitation de la vulnérabilité
- Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.
Composants & versions vulnérables
- Electron versions 1.7, 1.8, 2.0.0-beta configurées comme suit:
- Dans "webPreferences", le paramètre "webviewTag" n'est pas explicitement valué à "False" ;
- L'option "nativeWindowOption" est désactivée ;
- Les événements "new-window" ne sont pas interceptés et les événements "event.newGuest" ne sont pas ignorés sans utiliser la balise d'option fournie.
CVE
- CVE-2018-1000136
Correctifs
- La vulnérabilité est corrigée à partir des versions 1.7.13, 1.8.4 et 2.0.0-beta.5 d'Electron.
Solution de contournement
- Il n'existe pas actuellement de solution de contournement.