Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34771 describes a use-after-free vulnerability affecting Electron applications. Specifically, apps utilizing asynchronous session.setPermissionRequestHandler() are susceptible when handling fullscreen, pointer-lock, or keyboard-lock permission requests. This flaw, present in Electron versions up to and including 38.8.6, can lead to crashes or memory corruption. Responding to permission requests synchronously can mitigate the risk; a full patch is not yet available.
Die Schwachstelle CVE-2026-34771 in Electron betrifft Anwendungen, die asynchrone session.setPermissionRequestHandler() registrieren. Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er eine Anfrage für Vollbild-, Pointer-Lock- oder Keyboard-Lock-Berechtigungen auslöst, während der Frame, der die Anfrage gestellt hat, navigiert oder das Fenster geschlossen wird. Dies führt dazu, dass der gespeicherte Callback eine bereits freigegebene Speicherstelle dereferenziert, was zu einem Absturz der Anwendung oder zu Speicherbeschädigungen führen kann. Die Folgen reichen von einem Denial-of-Service (Verweigerung des Zugriffs) durch den Absturz der Anwendung bis hin zu potenziellen Sicherheitslücken, wenn die Speicherbeschädigung dazu ausgenutzt werden kann, Code auszuführen. Der Grad der Bedrohung hängt stark von der Funktionalität der betroffenen Anwendung ab. Eine Anwendung, die sensible Daten verarbeitet oder Zugriff auf Systemressourcen hat, wäre besonders gefährdet. Ein erfolgreicher Angriff könnte zu unbefugtem Zugriff auf diese Daten oder zur Kompromittierung des Systems führen. Der 'Blast Radius' ist somit auf die betroffene Anwendung und das System, auf dem sie ausgeführt wird, beschränkt, kann aber in bestimmten Szenarien weitreichende Folgen haben.
Derzeit gibt es keine öffentlich bekannten Berichte über die Ausnutzung von CVE-2026-34771 (KEV). Es liegen auch keine öffentlich zugänglichen Proof-of-Concept-Exploits vor. Dies bedeutet jedoch nicht, dass die Schwachstelle nicht ausgenutzt werden kann. Es ist möglich, dass Angreifer die Schwachstelle bereits intern untersuchen oder ausnutzen. Aufgrund des potenziellen Schadens, der durch eine erfolgreiche Ausnutzung entstehen kann, wird empfohlen, die Schwachstelle so schnell wie möglich zu beheben. Die Abwesenheit öffentlicher Exploits sollte nicht als Garantie für die Sicherheit gewertet werden, sondern als Anreiz, proaktiv zu handeln und die Anwendung zu patchen.
Applications built using Electron that register asynchronous session.setPermissionRequestHandler() are at risk. This includes a wide range of desktop applications, particularly those that handle user permissions or interact with system resources. Developers using Electron for cross-platform development, especially those relying on third-party libraries or components that utilize permission request handlers, should prioritize patching.
• linux / server: Monitor Electron application logs for crashes or segmentation faults. Use ps aux | grep electron to identify running Electron processes and check their resource usage for anomalies.
journalctl -u electron -f | grep -i crash• windows / supply-chain: Use Process Monitor to observe Electron processes and identify any unusual memory access patterns or crashes. Check Autoruns for suspicious Electron-related entries.
Get-Process -Name electron | Select-Object Id, CPU, WorkingSet• generic web: If the Electron application interacts with a web server, examine web server access logs for unusual requests that might trigger the permission request handler.
disclosure
Exploit-Status
EPSS
0.04% (13% Perzentil)
CISA SSVC
CVSS-Vektor
Um CVE-2026-34771 zu beheben, ist ein Upgrade auf mindestens Electron Version 38.8.6, 39.8.0, 40.7.0 oder 41.0.0-beta.8 unerlässlich. Diese Versionen enthalten die notwendigen Patches, um die Schwachstelle zu beheben. Sollte ein sofortiges Upgrade nicht möglich sein, kann als vorübergehende Maßnahme die Verwendung eines synchronen Permission Request Handlers in Betracht gezogen werden. Dies verhindert das Auftreten der Use-After-Free-Bedingung. Es ist jedoch wichtig zu beachten, dass ein synchroner Handler die Reaktionsfähigkeit der Anwendung beeinträchtigen kann. Nach dem Upgrade oder der Implementierung eines Workarounds sollte die Anwendung gründlich auf Stabilität und Funktionalität getestet werden, um sicherzustellen, dass die Behebung die Anwendung nicht negativ beeinflusst. Überprüfen Sie die Electron-Versionsnummer Ihrer Anwendung, um festzustellen, ob ein Upgrade erforderlich ist. Konsultieren Sie die offizielle Electron-Dokumentation für detaillierte Anweisungen zum Upgrade-Prozess.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8. Esta actualización soluciona un problema de uso después de liberar que puede ocurrir al manejar solicitudes de permisos de pantalla completa, bloqueo de puntero o bloqueo de teclado, previniendo así posibles fallos o corrupción de memoria.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CVE-2026-34771 is a HIGH severity vulnerability in Electron where a pending permission request handler can lead to memory corruption and crashes.
You are affected if you are using Electron versions 38.0.0–>= 41.0.0-alpha.1, < 41.0.0-beta.8 and have registered an asynchronous session.setPermissionRequestHandler().
Upgrade to Electron version 38.8.6 or later to resolve this vulnerability. Consider disabling the permission request handler if upgrading is not immediately possible.
There is currently no public information indicating active exploitation of CVE-2026-34771.
Refer to the Electron security advisories on the Electron GitHub repository for official information: https://github.com/electron/electron/security
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.