Vulnerabilidad en electron-builder (CVE-2024-27303)

electron-builder es una solución para empaquetar y crear una aplicación Electron, Proton Native lista para su distribución para macOS, Windows y Linux. Una vulnerabilidad que solo afecta a eletron-builder anterior a 24.13.2 en Windows, el instalador de NSIS realiza una llamada al sistema para abrir cmd.exe a través de NSExec en el script del instalador `.nsh`. NSExec busca de forma predeterminada el directorio actual donde se encuentra el instalador antes de buscar `PATH`. Esto significa que si un atacante puede colocar un archivo ejecutable malicioso llamado cmd.exe en la misma carpeta que el instalador, el instalador ejecutará el archivo malicioso. La versión 24.13.2 soluciona este problema. No existe ningún workaround. El código se ejecuta en el nivel del instalador antes de que la aplicación esté presente en el sistema, por lo que no hay forma de verificar si existe en un instalador actual.