发布日期：2023-12-01
更新日期：2023-12-14

受影响系统：

Electron Electron >= 26.0.0
Electron Electron >= 25.0.0
Electron Electron >= 24.0.0
Electron Electron >= 23.0.0
Electron Electron <= 26.2.1
Electron Electron <= 25.8.1
Electron Electron <= 24.8.3
Electron Electron <= 23.3.14
Electron Electron <= 22.3.24
Electron Electron 27.0.0-aplha6
Electron Electron 27.0.0-alpha5
Electron Electron 27.0.0-alpha4
Electron Electron 27.0.0-alpha3
Electron Electron 27.0.0-alpha2
Electron Electron 27.0.0-alpha1

描述：

---

CVE(CAN) ID: CVE-2023-44402

Electron是个人开发者的一个用户编写跨平台桌面应用的JavaScript框架，该框架基于nodejs和Chromium可以使用HTML，CSS实现跨平台桌面应用的编写。
Electron多个版本存在数据伪造漏洞，影响启用了embeddedAsarIntegrityValidation和onlyLoadAppFromAsar熔丝的应用程序，攻击者可利用该漏洞通过文件类型混淆进行绕过，有能力编辑macOS上的.app捆绑包中的文件。

<*链接：https://github.com/electron/electron/security/advisories/GHSA-7m48-wc93-9g85
*>

建议：

---

厂商补丁：

Electron
--------
Electron已经为此发布了一个安全公告（CVE-2023-44402）以及相应补丁:
CVE-2023-44402：ASAR Integrity bypass via filetype confusion
链接：https://github.com/electron/electron/security/advisories/GHSA-7m48-wc93-9g85

浏览次数：600
严重程度：0（网友投票）