Vulnerabilidad en la API bluetooth de la web en Electron (CVE-2022-21718)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
22/03/2022
Última modificación:
24/07/2023
Descripción
Electron es un marco de trabajo para escribir aplicaciones de escritorio multiplataforma usando JavaScript, HTML y CSS. Una vulnerabilidad en las versiones anteriores a "17.0.0-alpha.6", "16.0.6", "15.3.5", "14.2.4" y "13.6.6" permite a renderizadores obtener acceso a un dispositivo bluetooth por medio de la API bluetooth de la web si la aplicación no ha configurado un controlador de eventos personalizado "select-bluetooth-device". Esto ha sido parcheado y las versiones de Electron "17.0.0-alpha.6", "16.0.6", "15.3.5", "14.2.4" y "13.6.6" contienen la corrección. El código del aviso de seguridad de GitHub puede añadirse a la aplicación para mitigar el problema
Impacto
Puntuación base 3.x
5.00
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:* | 13.6.6 (excluyendo) | |
| cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:* | 14.0.0 (incluyendo) | 14.2.4 (excluyendo) |
| cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.3.5 (excluyendo) |
| cpe:2.3:a:electronjs:electron:*:*:*:*:*:*:*:* | 16.0.0 (incluyendo) | 16.0.6 (excluyendo) |
| cpe:2.3:a:electronjs:electron:17.0.0:alpha1:*:*:*:*:*:* | ||
| cpe:2.3:a:electronjs:electron:17.0.0:alpha2:*:*:*:*:*:* | ||
| cpe:2.3:a:electronjs:electron:17.0.0:alpha3:*:*:*:*:*:* | ||
| cpe:2.3:a:electronjs:electron:17.0.0:alpha4:*:*:*:*:*:* | ||
| cpe:2.3:a:electronjs:electron:17.0.0:alpha5:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página