Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34766 describes a vulnerability in Electron where the select-usb-device event callback doesn't properly validate the chosen device ID, potentially granting access to unintended USB devices. This impacts applications with specific device-selection logic, allowing access to devices outside the renderer's requested filters or exclusion lists. Affected versions include Electron ≤38.8.6. No official patch is currently available.
CVE-2026-34766 in Electron betrifft die Handhabung von USB-Geräten über WebUSB. Konkret validierte die Callback-Funktion des select-usb-device-Ereignisses die ausgewählte Geräte-ID nicht korrekt gegenüber der gefilterten Liste, die dem Handler präsentiert wurde. Dies ermöglichte es einer bösartigen Anwendung, die den Handler beeinflussen kann, eine Geräte-ID auszuwählen, die nicht mit den vom Renderer angeforderten filters übereinstimmt oder in der exclusionFilters-Liste steht. Obwohl die WebUSB-Sicherheits-Blacklist weiterhin durchgesetzt wurde und sensible Geräte schützte, erlaubte diese Schwachstelle den Zugriff auf unerwünschte Geräte.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er den Code steuern kann, der die USB-Geräteauswahl innerhalb einer Electron-Anwendung verwaltet. Dies könnte durch bösartige Code-Injektion oder Benutzer-Eingabe-Manipulation erreicht werden. Der Angreifer könnte dann ein nicht autorisiertes USB-Gerät auswählen und so die Systemsicherheit potenziell gefährden. Der Schwierigkeitsgrad der Ausnutzung hängt von der Komplexität der Electron-Anwendung und den implementierten Sicherheitsmaßnahmen ab.
Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.
• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.
Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
Get-Process -Id $_.Id | Select-Object DeviceHandles
}• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".
journalctl | grep "WebUSB" -idisclosure
Exploit-Status
EPSS
0.02% (7% Perzentil)
CISA SSVC
CVSS-Vektor
Die Behebung dieser Schwachstelle besteht darin, auf Electron Version 38.8.6 oder höher zu aktualisieren. Dieses Update implementiert eine strengere Validierung der ausgewählten Geräte-ID und stellt so sicher, dass sie mit den angegebenen Filtern übereinstimmt. Entwickler werden dringend gebeten, ihre Electron-Anwendungen so schnell wie möglich zu aktualisieren, um dieses Risiko zu mindern. Überprüfen Sie außerdem Ihren Code auf potenzielle Einfallstore, bei denen ein Angreifer die Geräteauswahl beeinflussen könnte.
Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
WebUSB ist eine Web-API, die Webanwendungen den Zugriff auf USB-Geräte ermöglicht, die mit dem Computer des Benutzers verbunden sind.
Benutzer könnten betroffen sein, wenn eine bösartige Electron-Anwendung diese Schwachstelle ausnutzt, um nicht autorisierte USB-Geräte zu erreichen.
Aktualisieren Sie Ihre Electron-Anwendung so schnell wie möglich auf Version 38.8.6 oder höher.
Ja, die WebUSB-Sicherheits-Blacklist bleibt wirksam und schützt sensible Geräte.
Weitere Informationen finden Sie in der Electron-Sicherheitsmitteilung: [Link zur Electron-Sicherheitsmitteilung]
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.