Inicio / Alerta Temprana / Vulnerabilidades / CVE-2018-1000136

Vulnerabilidad en Electron (CVE-2018-1000136)

Tipo: 
Validación incorrecta de entrada
Gravedad: 
Media
Fecha publicación : 
23/03/2018
Última modificación: 
02/10/2019
Descripción
Electron, en versiones desde la 1.7 hasta la 1.7.12, desde la 1.8 hasta la 1.8.3 y desde la 2.0.0 hasta la 2.0.0-beta.3, contiene una vulnerabilidad de gestión incorrecta de valores en Webviews que puede dar como resultado la ejecución remota de código. Parece que este ataque puede ser explotable mediante una app que permite la ejecución de código de terceros, no acepta la integración de nodos y no especifica si la vista web está habilitada o deshabilitada. Esta vulnerabilidad parece haber sido solucionada en las versiones 1.7.13, 1.8.4, 2.0.0-beta.4.
Impacto
Vector de acceso: A través de red
Complejidad de Acceso: Media
Autenticación: No requerida para explotarla
Tipo de impacto: Afecta parcialmente a la integridad del sistema + Afecta parcialmente a la confidencialidad del sistema + Afecta parcialmente a la disponibilidad del sistema
Productos y versiones vulnerables
  • cpe:2.3:a:electronjs:electron:2.0.0:beta4:*:*:*:*:*:*
  • cpe:2.3:a:electronjs:electron:2.0.0:beta3:*:*:*:*:*:*
  • cpe:2.3:a:electronjs:electron:2.0.0:beta2:*:*:*:*:*:*
  • cpe:2.3:a:electronjs:electron:2.0.0:beta1:*:*:*:*:*:*
  • cpe:2.3:a:electronjs:electron:2.0.0:*:*:*:*:*:*:*
  • cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:*
Para consultar la lista completa de productos y versiones ver esta página
Explicación de los campos