发布日期：2024-07-09
更新日期：2024-09-09

受影响系统：

electron-builder electron-builder < 6.3.0-alpha.6

描述：

---

CVE(CAN) ID: CVE-2024-39698

electron-builder是一个用于打包和构建可供分发的Electron、Proton Native应用程序，适用于macOS、Windows和Linux，并提供开箱即用的“自动更新”支持。
electron-builder 6.3.0-alpha.6之前版本存在证书验证错误漏洞，该漏洞源于周围的shell 导致第一次使用cmd.exe会扩展上面命令行中的任意环境变量，攻击者可利用该漏洞诱导verifySignature()验证不同文件的证书，进而执行恶意更新。

<**>

建议：

---

厂商补丁：

electron-builder
----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/electron-userland/electron-builder/pull/8295

浏览次数：210
严重程度：0（网友投票）