简单的错误可能会导致使用Electron Framework构建的应用程序出现RCE漏洞

在流行的Electron web应用程序框架中发现了一个关键的远程代码执行漏洞，攻击者可利用该漏洞在受害者的计算机上执行恶意代码。

除了自己的模块之外，Electron framework还允许开发人员通过集成Chromium和Node来创建混合桌面应用程序。通过API实现js框架。

自节点。js是一个用于服务器端应用程序的健壮框架，通过访问其API，基于电子的应用程序可以间接地对安装在服务器上的操作系统进行更多控制。

防止未经授权或不必要地访问节点。js API，Electron framework默认将“webviewTag”的值设置为错误的在其“webPreferences”配置文件中，然后将“nodeIngration”设置为错误的。

该框架中引入了带有某些参数硬编码值的配置文件，以防止恶意功能的实时修改，即利用跨站点脚本（XSS）等安全漏洞。

此外，如果应用程序开发人员跳过或忘记在配置文件中声明“webviewTag:false”，即使在默认情况下，框架也会将“nodeIntegration”的值视为false，以采取预防措施。
然而，Trustwave研究员布伦丹·斯卡维尔（Brendan Scarvell）发布了概念验证（PoC）代码，攻击者可以通过利用跨站点脚本漏洞，将该代码注入到运行时未声明“webviewTag”的目标应用程序中，以实现远程代码执行。

该漏洞在运行时重新启用“节点集成”，使攻击者能够未经授权地控制应用程序服务器并执行任意系统命令。
需要注意的是，如果开发人员还选择了以下选项之一，则利用漏洞将不起作用：

• 在其webPreferences中启用了nativeWindowOption选项。
• 拦截新窗口事件和重写事件。不使用提供的选项标签的newGuest。

该漏洞被追踪为CVE-2018-1000136，斯卡维尔于今年早些时候向Electron团队报告，并在发现时影响了Electron的所有版本。

2018年3月，Electron开发者发布了1.7.13、1.8.4和2.0.0-beta版本，修补了该漏洞。

因此，应用程序开发人员应该确保他们的应用程序已修补，或者至少不易受到此问题的攻击。

有关Electron漏洞和PoC攻击代码的更多技术细节，请访问Trustwave的博客文章。

还应注意的是，Electron漏洞与Signal app中最近发现的漏洞无关，Signal app最近还修补了一个导致远程代码执行的关键跨站点脚本漏洞，其全部技术细节将于今晚在《黑客新闻》上独家发布。敬请期待！