Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34775 describes an issue in Electron where the nodeIntegrationInWorker webPreference was not correctly scoped, potentially allowing workers to receive Node.js integration even when configured otherwise. This can lead to security vulnerabilities if an application enables nodeIntegrationInWorker and also opens child windows or embeds content with differing webPreferences. This issue affects Electron versions up to and including 38.8.6. The vulnerability has been fixed in Electron versions 41.0.0, 40.8.4, 39.8.4, and 38.8.6.
CVE-2026-34775 betrifft Electron, ein beliebtes Framework zum Erstellen plattformübergreifender Desktop-Anwendungen. Die Schwachstelle liegt in der Art und Weise, wie die Web-Präferenz nodeIntegrationInWorker behandelt wird. Vor Versionen 38.8.6, 39.8.4, 40.8.4 und 41.0.0 wurde diese Präferenz nicht korrekt in allen Konfigurationen erzwungen. Das bedeutet, dass in bestimmten Szenarien des Prozess-Sharings Workers, die in Frames mit nodeIntegrationInWorker: false gestartet wurden, dennoch Node.js-Integration erhalten konnten. Diese Integration ermöglicht es Workers, JavaScript-Code mit Zugriff auf Node.js-APIs auszuführen, was gefährlich sein kann, wenn es nicht ordnungsgemäß kontrolliert wird. Die Schwachstelle ist nur für Anwendungen relevant, die nodeIntegrationInWorker explizit aktivieren. Die Schwere der Schwachstelle wurde mit 6.8 auf der CVSS-Skala bewertet.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer in der Lage ist, den Inhalt eines Frames innerhalb der Electron-Anwendung zu kontrollieren und dass die Anwendung nodeIntegrationInWorker aktiviert hat. Der Angreifer kann bösartigen Code in den Frame injizieren und durch die Nutzung der Node.js-Integration beliebigen Code im Kontext der Electron-Anwendung ausführen. Dies könnte es dem Angreifer ermöglichen, auf sensible Daten zuzugreifen, das Verhalten der Anwendung zu ändern oder sogar die vollständige Kontrolle über das System zu übernehmen. Die Wahrscheinlichkeit einer Ausnutzung hängt von der Konfiguration der Anwendung und der Exposition der Anwendung gegenüber nicht vertrauenswürdigen Inhalten ab.
Applications built with Electron that utilize workers and have enabled nodeIntegrationInWorker are at risk. This includes desktop applications that handle sensitive data, interact with external APIs, or process user input. Shared hosting environments where multiple Electron applications share resources could also be vulnerable if one application is compromised.
• linux / server:
ps aux | grep -i electron | grep -i 'nodeIntegrationInWorker'• windows / supply-chain:
Get-Process -Name Electron | Select-Object -ExpandProperty Path | ForEach-Object { Get-ChildItem $_ -Recurse | Where-Object {$_.Name -match 'nodeIntegrationInWorker'}} • generic web:
Inspect Electron application's web preferences for nodeIntegrationInWorker configuration. Review application code for worker creation and usage patterns.
disclosure
Exploit-Status
EPSS
0.03% (10% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung zur Minderung von CVE-2026-34775 besteht darin, auf eine Electron-Version zu aktualisieren, die die Schwachstelle behebt. Betroffene Versionen sind alle Versionen vor 38.8.6, 39.8.4, 40.8.4 und 41.0.0. Es wird dringend empfohlen, auf die neueste verfügbare Version zu aktualisieren (derzeit 38.8.6 oder höher). Überprüfen Sie außerdem die Konfiguration von nodeIntegrationInWorker in Ihrer Anwendung, um sicherzustellen, dass sie nur aktiviert wird, wenn dies unbedingt erforderlich ist. Wenn nodeIntegrationInWorker nicht verwendet wird, kann das Deaktivieren die Angriffsfläche der Anwendung reduzieren. Das Update sollte gemäß den Upgrade-Anweisungen des Electron-Teams durchgeführt werden.
Actualice Electron a la versión 38.8.6, 39.8.4, 40.8.4 o 41.0.0 para mitigar la vulnerabilidad. Asegúrese de que la opción `nodeIntegrationInWorker` esté configurada correctamente para evitar la ejecución no intencionada de código Node.js en workers.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Electron ist ein Framework zum Erstellen plattformübergreifender Desktop-Anwendungen mit Webtechnologien wie HTML, CSS und JavaScript.
Es ist eine Electron-Präferenz, die steuert, ob Workers (Kindprozesse) Zugriff auf Node.js-APIs haben.
Wenn Sie Electron verwenden und nodeIntegrationInWorker aktiviert haben, ist Ihre Anwendung wahrscheinlich betroffen. Überprüfen Sie die verwendete Electron-Version und aktualisieren Sie sie bei Bedarf.
Wenn Sie nicht sofort aktualisieren können, sollten Sie nodeIntegrationInWorker deaktivieren, wenn es nicht für die Funktionalität Ihrer Anwendung unerlässlich ist.
Weitere Informationen zu CVE-2026-34775 finden Sie auf der Website der National Vulnerability Database (NVD) und im Electron-Blog.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.