Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34768 describes an unquoted path vulnerability affecting Electron applications on Windows. Specifically, when app.setLoginItemSettings({openAtLogin: true}) writes the executable path to the Run registry key without proper quoting, it can lead to remote code execution (RCE). This issue affects Electron versions up to and including 38.8.6. A workaround is to install the application to a path without spaces.
CVE-2026-34768 betrifft Electron unter Windows. Die Funktion app.setLoginItemSettings({openAtLogin: true}) schrieb den Pfad zur ausführbaren Datei in den Registrierungsschlüssel Run, ohne Anführungszeichen zu verwenden. Das bedeutet, dass ein Angreifer, der Schreibzugriff auf ein übergeordnetes Verzeichnis hat, wenn die App in einem Pfad mit Leerzeichen installiert ist, möglicherweise eine andere ausführbare Datei beim Anmelden anstelle der beabsichtigten App ausführen kann. Die Schwachstelle liegt in der unsachgemäßen Behandlung von Pfaden mit Leerzeichen innerhalb der Windows-Registrierung, die die Ersetzung der legitimen ausführbaren Datei ermöglicht. Obwohl Standard-Systemverzeichnisse in der Regel vor Schreibzugriffen durch Standardbenutzer geschützt sind, erfordert die Ausnutzung typischerweise eine nicht standardmäßige Installation oder erhöhte Berechtigungen.
Die Ausnutzung dieser Schwachstelle erfordert, dass der Angreifer die Fähigkeit hat, in ein übergeordnetes Verzeichnis des Installationspfads der Electron-Anwendung zu schreiben. In Standard-Windows-Umgebungen ist dies aufgrund von Sicherheitsvorkehrungen unwahrscheinlich. Wenn die Anwendung jedoch an einem nicht standardmäßigen Ort installiert wurde oder der Angreifer Administratorzugriff auf das System erhalten hat, wird die Ausnutzung umsetzbarer. Der Angreifer könnte eine bösartige ausführbare Datei mit demselben Namen wie die Electron-Anwendung erstellen und sie in einem zugänglichen Verzeichnis platzieren, dann den Registrierungsschlüssel Run so ändern, dass er auf diese bösartige ausführbare Datei verweist. Beim Anmelden würde anstelle der legitimen Electron-Anwendung der bösartige Code ausgeführt.
Exploit-Status
EPSS
0.01% (2% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-34768 ist die Aktualisierung von Electron auf Version 38.8.6 oder höher. Diese Version behebt die Schwachstelle, indem sichergestellt wird, dass die Pfade zu ausführbaren Dateien korrekt in den Registrierungsschlüssel Run geschrieben werden, einschließlich der Verwendung von Anführungszeichen, um Pfade mit Leerzeichen zu verarbeiten. Es wird empfohlen, dieses Update so bald wie möglich anzuwenden, um das Risiko der Ausführung von nicht autorisiertem Code beim Anmelden zu mindern. Überprüfen Sie außerdem die Schreibberechtigungen auf den Installationsverzeichnissen der Electron-Anwendung, um sicherzustellen, dass nur autorisierte Benutzer die Autostart-Einstellungen ändern können. Das Update ist die effektivste präventive Maßnahme.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comillas en la ruta del ejecutable al registrar el elemento de inicio de sesión en Windows, previniendo la ejecución de ejecutables maliciosos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Electron ist ein Framework zum Erstellen von plattformübergreifenden Desktop-Anwendungen mit Webtechnologien wie HTML, CSS und JavaScript.
Dieses Update behebt eine Sicherheitslücke, die es einem Angreifer ermöglichen könnte, bösartigen Code beim Anmelden auszuführen.
Wenn Sie nicht sofort aktualisieren können, beschränken Sie die Schreibberechtigungen auf das Installationsverzeichnis der Electron-Anwendung.
Diese Schwachstelle betrifft Electron-Anwendungen, die die Funktion app.setLoginItemSettings({openAtLogin: true}) verwenden und in Pfaden mit Leerzeichen unter Windows installiert sind.
Sie finden weitere Informationen zu dieser Schwachstelle in der Sicherheitsmitteilung von Electron und in Vulnerabilitätsdatenbanken wie CVE.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.