CVE-2025-27554 (CVSS 9.9): Critical Flaw Found in ToDesktop Electron App Bundler
2025/03/01 SecurityOnline — 最近になって公開された、Electron App Bundler Service である ToDesktop の脆弱性を悪用する攻撃者が、ビルド・サーバで任意のコマンドを実行し、このプラットフォームを使用するアプリケーションに対して、不正なアップデートをデプロイする可能性があることが判明した。
この脆弱性 CVE-2025-27554 (CVSS:9.9) は、セキュリティ研究者である xyz3va により発見された。具体的に言うと、ビルド・コンテナに付与された過剰な権限に起因し、アプリケーションの package.json ファイル内のインストール後スクリプトが、Firebase 認証情報を取得できるようになってしまった。
この脆弱性を悪用する攻撃者は、以下の操作を達成する機会を得る。
- ToDesktop データベースとユーザー・アカウントへの不正アクセス。
- このプラットフォーム上に構築されたアプリの不正な更新の展開。
- ClickUp/Cursor/Linear/Notion Calendar などの、数百万のユーザーが使用するアプリケーションへの侵害。
この脆弱性を研究者たちが発見したのは、インストーラーのパッケージ化に ToDesktop を使用する、 AI テキスト・エディタ Cursor を調査していたときだ。xyz3va が指摘したのは、「todesktop とは、一体何なのか? カーソルをダウンロードしているだけではない。その Web サイトを見ると、electron アプリ用の SDK を提供するだけでなく、electron アプリ・バンドラー・サービスでもあるようだ」という点だ。
ToDesktop の CLI ツールを調べたところ、以下のことが判明した。
- このビルド・コンテナには、必要以上に広範な権限が付与されている。
- ハードコードされた Firebase 管理者キーが、コンテナ内に存在している。
- このシステムは、Firebase Cloud Function 経由で任意のアップロードを許可する。
- package.json の postinstall スクリプトを使用して、ビルド・コンテナ内でコマンドが実行できる。
xyz3va は脆弱性を確認するために、自身のアプリにアップデートを展開し、ビルド・サーバでリモート・コード実行 (RCE) が発生させた。
2024年10月2日の時点で、この研究者は ToDesktop に対して、適切に脆弱性を開示した。その後の ToDesktop は、26 時間以内に脆弱性を修正し、すべての機密トークンをローテーションした。
ToDesktop は、サードパーティのサイバー・セキュリティ会社 Doyensec と契約し、このプラットフォームとビルド・パイプラインに関して、独自の監査を実施した。その監査は 2025年1月に完了し、その後の再テストは 2025年2月に完了した。
ToDesktop は、この速やかな修正に加えて、以下のような長期的なセキュリティ強化を実施している。
- アプリの更新をリリースする際のセキュリティ・キー使用を義務化。
- ビルド/リリース・プロセスへのアクセス制御権限の実装。
- 機密性の高いアクセス・トークンの、疑わしい使用に対するアラートの強化。
- ビルド・コンテナに対する、最小権限付与の原則の適用。
- アップデート/ダウンロードをセルフホストするオプションの導入。
Web アプリをデスクトップ・アプリに変換するツールである、ToDesktop の脆弱性が FIX しました。脆弱性報告から修正までの迅速さが、セキュリティ・インシデントの影響を最小限に抑えるための鍵となります。今回の ToDesktop の迅速な対応は称賛されるものだと思います。ご利用のチームは、アップデートをご確認下さい。よろしければ、Electron で検索も、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.