发布日期：2024-03-06

更新日期：2024-04-17

受影响系统：

electron-builder electron-builder < 24.13.2

描述：

CVE(CAN) ID: CVE-2024-27303

electron-builder是一个用于打包和构建可供分发的Electron、Proton Native应用程序，适用于macOS、Windows和Linux，并提供开箱即用的“自动更新”支持。

electron-builder 24.13.2之前版本存在不受控制的搜索路径元素漏洞，攻击者可利用该漏洞在安装程序所在的文件夹中放置文件名为cmd.exe的可执行文件，进而使程序执行该恶意文件。

< **>

建议：

厂商补丁：

electron-builder

----------------

目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://github.com/electron-userland/electron-builder/commit/8f4acff3c2d45c1cb07779bb3fe79644408ee387

浏览次数：78

严重程度：0（网友投票）