CVE-2018-1000006
CVE-2018-1000006
Vexday Risk Score
62Prioridad alta
Decisión SSVC (CISA)
Attend
PoC disponible → seguir de cerca
Madurez del exploit
Exploit funcional
PoC popular en GitHub (39 estrellas) — código de explotación ampliamente disponible.
CVSS —EPSS 84.4%KEV nãoPoC públicaNuclei —Metasploit simPatch —
Ciclo de vida
24 ene 2018Publicada en NVD
25 ene 2018Exploit Metasploit disponible
25 ene 2018PoC pública
Velocidad de armamento
el mismo díahasta el primer PoC
el mismo díahasta el módulo Metasploit
Armada rápidamente — los atacantes priorizaron esta vulnerabilidad. Corrige con urgencia.
Recomendación: Planificar corrección próxima — ya existe PoC pública.
GitHub Electron versions 1.8.2-beta.3 and earlier, 1.7.10 and earlier, 1.6.15 and earlier has a vulnerability in the protocol handler, specifically Electron apps running on Windows 10, 7 or 2008 that register custom protocol handlers can be tricked in arbitrary command execution if the user clicks on a specially crafted URL. This has been fixed in versions 1.8.2-beta.4, 1.7.11, and 1.6.16.
Productos afectados
n/a · n/aPoCs públicas encontradas — 5
githubgithub.com/CHYbeta/CVE-2018-1000006-DEMO★ 39cve_referencewww.exploit-db.com/exploits/43899/no verificadocve_referencewww.exploit-db.com/exploits/44357/no verificadoexploitdbwww.exploit-db.com/exploits/43899no verificadoexploitdbwww.exploit-db.com/exploits/44357no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
Referencias
https://electronjs.org/blog/protocol-handler-fixhttps://github.com/electron/electron/releases/tag/v1.8.2-beta.4https://medium.com/%40Wflki/exploiting-electron-rce-in-exodus-wallet-d9e6db13c374https://www.exploit-db.com/exploits/43899/https://www.exploit-db.com/exploits/44357/http://www.securityfocus.com/bid/102796