Attention, ils parlent de “built-in…extensions”, c’est à dire des extensions nécessaires au fonctionnement d’Electron. Je ne sais pas si le package nwjs contient des extensions chromium, mais si c’est le cas elles sont vulnérables…
En fait cette vulnérabilité est potentielle pour toutes les applications non signées, qui peuvent être modifiées sans que les créateurs s’en rendent compte. Donc les nôtres aussi…
Cela nous ramène à la discussion de la nécessité de garantir que les builds/packages sont biens issus du code d’origine.