Vulnerabilidad en briefcase de beeware (CVE-2026-33430)

Briefcase es una herramienta para convertir un proyecto Python en una aplicación nativa independiente. A partir de la versión 0.3.0 y antes de la versión 0.3.26, si un desarrollador utiliza Briefcase para producir un instalador MSI de Windows para un proyecto, y ese proyecto se instala para Todos los Usuarios (es decir, con alcance por máquina), el proceso de instalación crea un directorio que hereda todos los permisos del directorio padre. Dependiendo de la ubicación elegida por el usuario que realiza la instalación, esto puede permitir que un usuario con pocos privilegios pero autenticado reemplace o modifique los binarios instalados por la aplicación. Si un administrador ejecuta entonces el binario alterado, el binario se ejecutará con privilegios elevados. El problema es causado por la plantilla utilizada para generar el archivo WXS para proyectos de Windows. Fue solucionado en las plantillas utilizadas en Briefcase 0.3.26, 0.4.0 y 0.4.1. Volver a ejecutar 'briefcase create' en su proyecto Briefcase resultará en el uso de las plantillas actualizadas. Como solución alternativa, el parche puede añadirse a cualquier archivo .wxs de Briefcase existente generado por Briefcase 0.3.24 o posterior.