Во фреймворке с открытым исходным кодом Electron от GitHub найдена серьезная уязвимость CVE-2018-1000136, которая может привести к удаленному выполнению произвольного кода. Технические детали и PoC-код были обнародованы исследователем безопасности Бренданом Скарвеллом (Brendan Scarvell), который обнаружил данную проблему.
Electron позволяет разработчикам создавать кроссплатформенные приложения для компьютера с помощью языков программирования HTML, CSS и JavaScript. Данный фреймворк использовался в разработке сотен приложений, включая Skype, GitHub Desktop, Slack, WhatsApp, Signal, Discord и WordPress.com.
Как выяснил эксперт, некоторые приложения, созданные с помощью Electron, могут допускать удаленное выполнение кода в том случае, если они затронуты уязвимостью межсайтового скриптинга и настроены определенным образом.
«Приложения, разработанные с помощью Electron, представляют собой web-приложения, уязвимые к атакам межсайтового скриптинга из-за некорректной проверки входных данных. Приложение на базе Electron по умолчанию включает доступ не только к собственным API, но также ко всем встроенным модулям Node.js. Это делает XSS-атаки особенно опасными, так как полезная нагрузка злоумышленника может позволить выполнять системные команды на стороне клиента», — пояснил исследователь.
Как обнаружил Скарвелл, если в уязвимом приложении некоторые параметры не были заданы вручную в webPreferences, злоумышленник может повторно включить nodeIntegrationduring во время выполнения и выполнить системные команды.
Уязвимость была исправлена разработчиками Electron в марте с выпуском версий 1.7.13, 1.8.4 и 2.0.0-beta.4. Потенциальный ущерб от данной проблемы можно также уменьшить, добавив часть кода, предоставленную разработчиками Electron.
Данная проблема не затрагивает браузер Brave и мессенджер Signal, однако, ранее в последнем была обнаружена другая опасная уязвимость, позволяющая удаленно выполнить произвольный код.

Источник: securitylab.ru