Vulnerabilidad en Electron (CVE-2024-46993)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-122
Desbordamiento de búfer basado en memoria dinámica (Heap)
Fecha de publicación:
01/07/2025
Última modificación:
03/07/2025
Descripción
Electron es un framework de código abierto para desarrollar aplicaciones de escritorio multiplataforma con JavaScript, HTML y CSS. En versiones anteriores a la 28.3.2, 29.3.3 y 30.0.3, las funciones nativeImage.createFromPath() y nativeImage.createFromBuffer() invocan una función dependiente que es vulnerable a un desbordamiento de búfer en el montón. Un programa Electron que utilice cualquiera de las funciones afectadas es vulnerable a un desbordamiento de búfer si un atacante controla la altura, el ancho y el contenido de la imagen. Este problema se ha corregido en las versiones 28.3.2, 29.3.3 y 30.0.3. No existen soluciones alternativas.
Impacto
Puntuación base 4.0
4.40
Gravedad 4.0
MEDIA