Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34777 describes an origin spoofing vulnerability within the Electron framework. This flaw allows embedded iframes to potentially gain elevated permissions by misrepresenting their origin during permission requests, impacting applications that rely on origin validation for security. This affects Electron versions up to and including 38.8.6. Currently, there is no official patch available; however, developers can mitigate the risk by validating the details.requestingUrl parameter.
Die CVE-2026-34777-Schwachstelle in Electron betrifft die Art und Weise, wie Berechtigungsanfragen innerhalb von Iframes behandelt werden. Konkret verwendete Electron, wenn ein Iframe Berechtigungen wie Vollbildmodus, Zeigerverriegelung, Tastatursperre, externe Öffnung oder Medienzugriff anfordert, die Origin der übergeordneten Seite anstelle der Origin des anfordernden Iframes, wenn diese Anfragen über session.setPermissionRequestHandler() verarbeitet wurden. Dies bedeutet, dass eine Anwendung, die sich auf die Origin verlässt, um zu bestimmen, ob eine Berechtigung gewährt werden soll, möglicherweise unbeabsichtigt Berechtigungen an eingebettete Inhalte von Drittanbietern innerhalb des Iframes gewährt, was zu einer Eskalation von Privilegien oder einem unbefugten Zugriff auf sensible Ressourcen führen könnte.
Ein Angreifer könnte diese Schwachstelle ausnutzen, indem er bösartigen Code in ein Iframe innerhalb einer Electron-Anwendung einspeist. Dieser Code könnte sensible Berechtigungen (z. B. Zugriff auf Kamera oder Mikrofon) anfordern, und aufgrund des Fehlers bei der Origin-Verarbeitung könnte die Anwendung diese Berechtigungen an den bösartigen Code gewähren. Dies könnte es dem Angreifer ermöglichen, den Benutzer auszuspionieren, vertrauliche Informationen zu stehlen oder andere bösartige Aktionen im Namen des Benutzers durchzuführen. Die Wahrscheinlichkeit einer Ausnutzung hängt von der Verbreitung anfälliger Electron-Anwendungen und der Leichtigkeit ab, mit der Angreifer bösartigen Code in Iframes einschleusen können.
Exploit-Status
EPSS
0.01% (3% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf Electron-Version 38.8.6 oder höher zu aktualisieren. Diese Version behebt das Problem, indem sichergestellt wird, dass session.setPermissionRequestHandler() die korrekte Origin des anfordernden Iframes empfängt. Entwickler werden dringend gebeten, ihre Electron-Anwendungen so schnell wie möglich zu aktualisieren, um das Risiko zu mindern. Darüber hinaus wird empfohlen, die Berechtigungssteuerungslogik zu überprüfen und zu stärken, um sicherzustellen, dass sie auf robusten Kriterien basiert und nicht nur auf der Origin, insbesondere bei der Verarbeitung von Inhalten von Drittanbietern. Die regelmäßige Überwachung von Abhängigkeiten und das Anwenden von Sicherheitspatches sind eine wesentliche Praxis, um die Sicherheit von Electron-Anwendungen zu gewährleisten.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Verifique que su código no dependa de la origin del iframe para la autorización, sino que utilice `details.requestingUrl` para validar las solicitudes de permisos. Esto evitará que se otorguen permisos a contenido de terceros incrustado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Electron ist ein Framework zum Erstellen von plattformübergreifenden Desktop-Anwendungen mit Webtechnologien wie HTML, CSS und JavaScript.
Dieses Update behebt eine Sicherheitslücke, die es bösartigem Inhalt ermöglichen könnte, unbefugte Berechtigungen innerhalb einer Electron-Anwendung zu erhalten.
Wenn Sie nicht sofort aktualisieren können, überprüfen Sie Ihren Berechtigungssteuerungs-Code sorgfältig und stellen Sie sicher, dass er nicht ausschließlich auf der Origin basiert, um zu bestimmen, ob eine Berechtigung gewährt werden soll.
Wenn Sie eine Version von Electron vor 38.8.6 verwenden, ist Ihre Anwendung anfällig für diese Schwachstelle.
Sie finden weitere Informationen zu dieser Schwachstelle auf der Electron-Website und in Schwachstellen-Datenbanken wie CVE.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.