Plataforma
nodejs
Componente
todesktop
Corregido en
2024.0.1
CVE-2025-27554 describe una vulnerabilidad de ejecución remota de código (RCE) en ToDesktop, una herramienta utilizada para crear aplicaciones de escritorio. Esta vulnerabilidad permite a atacantes ejecutar comandos arbitrarios en el servidor de compilación, comprometiendo potencialmente el proceso de despliegue de actualizaciones. Las versiones afectadas son aquellas anteriores al 2024-10-03, incluyendo las versiones de Cursor que utilizan ToDesktop en ese rango. La vulnerabilidad ha sido corregida en la versión 2024-10-03.
El impacto de esta vulnerabilidad es significativo. Un atacante puede explotarla para leer archivos confidenciales, como las credenciales almacenadas en el archivo config.prod.json del servidor de compilación. Con acceso a estos secretos, el atacante podría desplegar actualizaciones maliciosas a cualquier aplicación que utilice ToDesktop, comprometiendo la integridad y la seguridad de las aplicaciones distribuidas. Esto podría resultar en la exfiltración de datos sensibles, la modificación del comportamiento de la aplicación o incluso la toma del control del sistema. La capacidad de desplegar actualizaciones maliciosas amplía el radio de explosión, afectando a todos los usuarios de las aplicaciones afectadas.
Esta vulnerabilidad fue publicada el 2025-03-01. No se ha confirmado explotación activa en entornos reales, pero la alta puntuación CVSS (9.9) indica un riesgo significativo. La vulnerabilidad se basa en la ejecución de un script postinstall sin validación adecuada, un patrón similar a otros ataques de inyección de código. No se ha añadido a la lista KEV de CISA hasta la fecha.
Applications that utilize the ToDesktop Node.js package, particularly those with automated build and deployment pipelines, are at significant risk. Projects relying on Cursor or other applications that transitively depend on ToDesktop are also vulnerable. Shared hosting environments where multiple projects share a build server are especially susceptible.
• nodejs / supply-chain:
npm list ToDesktop• nodejs / supply-chain:
grep -r 'postinstall' package.json• nodejs / supply-chain:
find . -name 'desktopify config.prod.json' -printdisclosure
patch
Estado del Exploit
EPSS
0.43% (63% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar ToDesktop a la versión 2024-10-03 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar y restringir los permisos del script postinstall en el archivo package.json. Implementar una validación estricta de las fuentes de los archivos y dependencias descargadas puede ayudar a prevenir la inyección de código malicioso. Además, se recomienda implementar un sistema de control de versiones y auditoría para rastrear los cambios realizados en el código y las configuraciones del proyecto. Después de la actualización, confirme que el script postinstall se ejecuta con los permisos mínimos necesarios y que no tiene acceso a información sensible.
Actualice la dependencia 'todesktop' a una versión posterior a 2024-10-02. Esto evitará la ejecución remota de comandos en el servidor de compilación a través del script postinstall en package.json. Consulte el blog de ToDesktop para obtener más información sobre la vulnerabilidad y las medidas de seguridad implementadas.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-27554 is a critical remote code execution vulnerability in ToDesktop versions before 2024-10-03. It allows attackers to execute commands on the build server, potentially accessing sensitive data.
You are affected if you are using ToDesktop versions prior to 2024-10-03, or if you use Cursor or other applications that depend on a vulnerable version of ToDesktop.
Upgrade ToDesktop to version 2024-10-03 or later. If immediate upgrade is not possible, restrict build server access and review installed packages.
No active exploitation has been reported, but the vulnerability's severity suggests a high probability of future attacks.
Refer to the relevant security advisories from the ToDesktop project and any dependent applications like Cursor for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.