Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34772 describes a use-after-free vulnerability within Electron applications. This flaw arises when a session is programmatically destroyed while a native save-file dialog is open for a download, potentially leading to crashes or memory corruption. Affected versions include those prior to 38.8.6; upgrading to a patched version is recommended.
CVE-2026-34772 betrifft Electron-Anwendungen, die Downloads ermöglichen und Benutzersitzungen programmgesteuert zerstören. Die Schwachstelle liegt in einer potenziellen Verwendung von freigegebenem Speicher (use-after-free). Wenn eine Sitzung beendet wird, während ein natives Speicherdialog für einen Download geöffnet ist, kann das Schließen des Dialogs dazu führen, dass auf bereits freigegebenen Speicher zugegriffen wird, was zu einem Anwendungsabsturz oder Speicherbeschädigung führen kann. Diese Schwachstelle ist besonders relevant für Anwendungen, die Datei-Downloads verwalten und dynamische Sitzungsbeendigungsmethoden implementieren. Der CVSS-Schweregrad beträgt 5,8, was ein moderates Risiko anzeigt.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer einen Download initiiert, während die Electron-Anwendung ausgeführt wird, und gleichzeitig die Sitzung des Benutzers beendet, bevor der Speicherdialog abgeschlossen ist. Dies könnte durch eine sorgfältig orchestrierte Abfolge von Ereignissen erreicht werden, z. B. durch eine Benutzeraktion, die das Beenden der Sitzung auslöst, während der Download im Gange ist. Der Schwierigkeitsgrad der Ausnutzung hängt von der Architektur der Anwendung und der Art und Weise ab, wie Sitzungen und Downloads verwaltet werden. Eine erfolgreiche Ausnutzung könnte zur Ausführung von beliebigem Code oder zu einem Denial-of-Service führen.
Applications built with Electron that allow downloads and programmatically destroy user sessions are at risk. This includes desktop applications, progressive web apps (PWAs), and any Electron-based software that handles file downloads and user authentication. Specifically, applications with poorly implemented session management or download handling are particularly vulnerable.
• windows / supply-chain: Monitor Electron processes (Get-Process electron) for unusual memory usage patterns. Check scheduled tasks for suspicious scripts that might be manipulating Electron sessions.
Get-Process electron | Select-Object Name, CPU, WorkingSet• linux / server: Use journalctl to filter for Electron application crashes or errors related to memory access.
journalctl -u electron -g 'memory access' --since '1 hour'• generic web: Examine web application logs for errors related to Electron components or download processes. Check for unusual network requests associated with Electron applications.
disclosure
Exploit-Status
EPSS
0.02% (4% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abschwächung für CVE-2026-34772 besteht darin, das Beenden von Benutzersitzungen zu vermeiden, während ein Download-Speicherdialog aktiv ist. Wenn ein Download im Gange ist, wird empfohlen, den Download zu unterbrechen, bevor die Sitzung beendet wird. Ein Upgrade auf Electron-Version 38.8.6 ist die definitive Lösung, da diese Version die Korrektur für diese Schwachstelle enthält. Darüber hinaus ist es wichtig, den Anwendungscode zu überprüfen, um alle Fälle von vorzeitiger Sitzungsbeendigung während Downloads zu identifizieren und zu beheben. Gründliche Tests können helfen, dieses Problem zu erkennen und zu verhindern.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de probar exhaustivamente su aplicación después de la actualización para garantizar la compatibilidad. Si no es posible actualizar inmediatamente, considere implementar medidas de mitigación para evitar la destrucción de sesiones mientras se abren diálogos de guardado de archivos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Electron ist ein Framework zum Erstellen von plattformübergreifenden Desktop-Anwendungen mit Webtechnologien wie HTML, CSS und JavaScript.
Die Schwachstelle kann dazu führen, dass die Anwendung abstürzt oder sich unerwartet verhält. In schwerwiegenderen Fällen könnte sie es einem Angreifer ermöglichen, bösartigen Code auf dem System des Benutzers auszuführen.
Es wird dringend empfohlen, auf Version 38.8.6 oder eine spätere Version zu aktualisieren, die die Korrektur für diese Schwachstelle enthält.
Als vorübergehende Lösung können Sie das Beenden von Sitzungen während eines Downloads vermeiden oder ausstehende Downloads beenden, bevor Sie die Sitzung beenden.
Sie finden weitere Informationen zu CVE-2026-34772 in Schwachstellen-Datenbanken wie der National Vulnerability Database (NVD) und in der Dokumentation von Electron.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.