Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-08830

Опубликовано: 30 июн. 2025
Источник: fstec
CVSS3: 7.8
CVSS2: 6.8
EPSS Низкий

Описание

Уязвимость функции embeddedAsarIntegrityValidation и onlyLoadAppFromAsar фреймворка для написания приложений Electron связана с неправильной проверкой значения целостности. Эксплуатация уязвимости может позволить нарушителю обойти ограничения безопасности и получить доступ на чтение и изменение данных

Вендор

Electron

Наименование ПО

Electron

Версия ПО

от 30.0.0-alpha.1 до 30.0.5 (Electron)
от 31.0.0-alpha.1 до 31.0.0-beta.1 (Electron)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/electron/electron/releases

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00008
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2024-46992

CVSS3: 7.8
nvd
около 2 месяцев назад

Electron is an open source framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. From versions 30.0.0-alpha.1 to before 30.0.5 and 31.0.0-alpha.1 to before 31.0.0-beta.1, Electron is vulnerable to an ASAR Integrity bypass. This only impacts apps that have the embeddedAsarIntegrityValidation and onlyLoadAppFromAsar fuses enabled. Apps without these fuses enabled are not impacted. This issue is specific to Windows, apps using these fuses on macOS are not impacted. Specifically this issue can only be exploited if the app is launched from a filesystem the attacker has write access too. i.e. the ability to edit files inside the .app bundle on macOS which these fuses are supposed to protect against. This issue has been patched in versions 30.0.5 and 31.0.0-beta.1. There are no workarounds for this issue.

debian логотип

CVE-2024-46992

CVSS3: 7.8
debian
около 2 месяцев назад

Electron is an open source framework for writing cross-platform deskto ...

github логотип

GHSA-xw5q-g62x-2qjc

CVSS3: 7.8
github
около 2 месяцев назад

electron ASAR Integrity bypass by just modifying the content

EPSS

Процентиль: 0%
0.00008
Низкий

7.8 High

CVSS3

6.8 Medium

CVSS2