Vulnerabilidad en Electron (CVE-2023-23623)

Electron es un framework que le permite escribir aplicaciones de escritorio multiplataforma utilizando JavaScript, HTML y CSS. Una política de seguridad de contenido que deshabilita la evaluación, específicamente estableciendo una directiva `script-src` y _no_ proporcionando `unsafe-eval` en esa directiva, no se respeta en los renderizadores que tienen la zona de pruebas deshabilitada. es decir, `sandbox: false` en el objeto `webPreferences`. Esto permite el uso inesperado de métodos como `eval()` y `new Function`, lo que puede resultar en una superficie de ataque ampliada. Este problema solo afectó a las versiones principales 22 y 23 de Electron y se solucionó en las últimas versiones de esas líneas de lanzamiento. Específicamente, estas versiones contienen las correcciones: 22.0.1 y 23.0.0-alpha.2. Recomendamos que todas las aplicaciones actualicen a la última versión estable de Electron. Si no es posible realizar la actualización, este problema se puede solucionar sin realizar la actualización habilitando `sandbox: true` en todos los renderizadores.<br />