Vulnerabilidad en Electron Capture (CVE-2025-54871)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-284
Control de acceso incorrecto
Fecha de publicación:
05/08/2025
Última modificación:
09/10/2025
Descripción
Electron Capture facilita la reproducción de video para compartir y capturar pantalla. En las versiones 2.19.1 y anteriores, la aplicación elecap en macOS permite a usuarios locales sin privilegios eludir las protecciones de privacidad de TCC de macOS al habilitar ELECTRON_RUN_AS_NODE. Esta variable de entorno permite ejecutar código Node.js arbitrario mediante el indicador -e, que se ejecuta dentro del contexto principal de Electron y hereda cualquier autorización de TCC previamente otorgada (como acceso a Documentos, Descargas, etc.). Este problema se solucionó en la versión 2.20.0.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:electroncapture:electron_capture:*:*:*:*:*:*:*:* | 2.20.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/steveseguin/electroncapture/commit/3837f54e75911bb99fa45cfa138a5e401d16f531
- https://github.com/steveseguin/electroncapture/releases/tag/2.20.0
- https://github.com/steveseguin/electroncapture/security/advisories/GHSA-8849-p3j4-jq4h
- https://github.com/steveseguin/electroncapture/security/advisories/GHSA-8849-p3j4-jq4h