Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34769 describes a command injection vulnerability within Electron. Specifically, an undocumented commandLineSwitches webPreference allows arbitrary switches to be appended to the renderer process command line, potentially disabling renderer sandboxing or web security controls. This impacts applications that construct webPreferences from external or untrusted input without an allowlist. The vulnerability affects Electron versions up to and including 38.8.6. The fix involves avoiding spreading untrusted input directly into webPreferences.
CVE-2026-34769 in Electron ermöglicht es einem Angreifer, beliebige Schalter in die Befehlszeile des Rendering-Prozesses einzuschleusen. Dies ist auf eine nicht dokumentierte commandLineSwitches WebPreference zurückzuführen, die das Anhängen zusätzlicher Schalter ermöglicht. Die Schwachstelle wird ausgenutzt, wenn Electron-Anwendungen ihre WebPreferences aus nicht vertrauenswürdigen Konfigurationsobjekten erstellen. Ein Angreifer könnte dies ausnutzen, um den Renderer-Sandbox oder die Websicherheitskontrollen zu deaktivieren, was zu einer beliebigen Codeausführung oder unbefugtem Datenzugriff führen könnte. Betroffene Versionen sind alle vor 38.8.6, 39.8.0, 40.7.0 und 41.0.0-beta.8. Die CVSS-Schweregrad ist 7,8, was ein hohes Risiko anzeigt.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er die WebPreferences-Konfiguration einer Electron-Anwendung beeinflussen kann. Dies könnte der Fall sein, wenn die Anwendung die Konfiguration aus einer externen Datei lädt oder wenn sie es Benutzern ermöglicht, die WebPreferences über eine Benutzeroberfläche anzupassen. Der Angreifer könnte einen bösartigen Schalter in die Befehlszeile des Renderers einschleusen, wodurch er den Renderer-Sandbox deaktivieren und beliebigen Code im Kontext der Electron-Anwendung ausführen könnte. Die Komplexität der Ausnutzung hängt von der Fähigkeit des Angreifers ab, die WebPreferences-Konfiguration zu kontrollieren.
Applications built with Electron that dynamically construct webPreferences from external or untrusted sources are at significant risk. This includes applications that load configuration files from user-provided locations or integrate with third-party services without proper input validation. Shared hosting environments where multiple Electron applications share the same system resources are also particularly vulnerable.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*electron*'} | Select-Object -ExpandProperty CommandLine• linux / server:
ps aux | grep electron | grep -- '--command-line-switches='• generic web: Inspect Electron application startup arguments for suspicious or unexpected command-line switches using process monitoring tools.
disclosure
Exploit-Status
EPSS
0.02% (6% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abmilderung für CVE-2026-34769 ist die Aktualisierung auf eine Electron-Version, die die Korrektur enthält, insbesondere 38.8.6 oder höher. Wenn ein sofortiges Update nicht möglich ist, überprüfen Sie sorgfältig den Code, der die WebPreferences erstellt, und stellen Sie sicher, dass keine nicht vertrauenswürdigen Datenquellen verwendet werden. Vermeiden Sie die Verwendung von WebPreference-Konfigurationsobjekten aus externen Quellen ohne gründliche Validierung. Die Implementierung einer strengen Validierung aller Benutzereingaben, die zur Konfiguration der WebPreferences verwendet werden, kann dazu beitragen, die Injektion bösartiger Schalter zu verhindern. Die Überwachung der Anwendungslogs auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren.
Actualice a una versión de Electron 38.8.6 o superior, 39.8.0 o superior, 40.7.0 o superior, o 41.0.0-beta.8 o superior. Evite construir webPreferences a partir de fuentes externas o no confiables sin una lista blanca de opciones permitidas.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Electron ist ein Framework zum Erstellen von plattformübergreifenden Desktop-Anwendungen mit Webtechnologien wie HTML, CSS und JavaScript.
Diese Schwachstelle könnte es einem Angreifer ermöglichen, die Sicherheit einer Electron-Anwendung zu kompromittieren, was zu Datenverlust oder der Ausführung von bösartigem Code führen könnte.
Wenn Ihre Electron-Anwendung Versionen vor 38.8.6, 39.8.0, 40.7.0 oder 41.0.0-beta.8 verwendet, ist sie anfällig für diese Schwachstelle.
Überprüfen Sie sorgfältig den Code, der die WebPreferences erstellt, und validieren Sie alle Benutzereingaben.
Konsultieren Sie die Electron-Sicherheitsberatung und die Versionshinweise für weitere Details.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.