Plattform
nodejs
Komponente
electron
Behoben in
39.0.1
40.0.1
41.0.1
CVE-2026-34780 describes a context isolation bypass vulnerability affecting Electron applications. Specifically, apps passing VideoFrame objects via the contextBridge are susceptible, potentially allowing an attacker with JavaScript execution in the main world (e.g., via XSS) to access the isolated world and Node.js APIs. This impacts Electron versions 39.0.0-alpha.1 through 39.8.0. No official patch is currently available.
CVE-2026-34780 betrifft Electron, ein Framework zum Erstellen von plattformübergreifenden Desktop-Anwendungen. Die Schwachstelle liegt in der Art und Weise, wie VideoFrame-Objekte (aus der WebCodecs-API) behandelt werden, wenn sie über ein contextBridge übertragen werden. In Versionen 39.0.0-alpha.1 und älter als 39.8.0, 40.0.0-alpha.1 und älter als 40.7.0 und 41.0.0-alpha.1 und älter als 41.0.0-beta.8 kann ein Angreifer, der JavaScript im Hauptbereich ausführen kann (z. B. über XSS), ein gebriücktes VideoFrame verwenden, um die Kontextisolation zu umgehen und möglicherweise auf geschützte Ressourcen zuzugreifen. Dies könnte zur Ausführung von beliebigem Code oder zum Zugriff auf sensible Daten innerhalb der Electron-Anwendung führen.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Angreifer in der Lage ist, JavaScript im Hauptkontext der Electron-Anwendung auszuführen. Dies könnte über eine Cross-Site-Scripting-(XSS)-Schwachstelle in der Anwendung oder durch Manipulation einer anfälligen Komponente erreicht werden. Sobald der Angreifer die Kontrolle über JavaScript im Hauptkontext hat, kann er ein bösartiges VideoFrame erstellen und es über contextBridge übertragen, um die Kontextisolation zu umgehen und beliebigen Code im isolierten Kontext auszuführen.
Exploit-Status
EPSS
0.04% (13% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, auf eine Version von Electron zu aktualisieren, die die Korrektur enthält. Betroffene Versionen sind alle Versionen vor 39.8.0, 40.7.0 und 41.0.0-beta.8. Es wird dringend empfohlen, auf die neueste stabile Version von Electron zu aktualisieren. Überprüfen Sie außerdem den Code Ihrer Anwendung, um sicherzustellen, dass die VideoFrame-Verarbeitung über contextBridge sicher erfolgt und dass sensible Daten nicht ohne ordnungsgemäße Validierung übergeben werden. Die Implementierung zusätzlicher Sicherheitskontrollen, wie z. B. Eingabevalidierung und Datenbereinigung, kann dazu beitragen, das Risiko zu mindern.
Actualice a una versión de Electron que incluya la corrección, como 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de que su preload script no esté exponiendo VideoFrame objects a través de contextBridge si no es absolutamente necesario. Revise su código para identificar y eliminar cualquier uso innecesario de VideoFrame objects en el contextoBridge.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
contextBridge ist eine Funktion von Electron, die es Webanwendungen ermöglicht, sicher mit dem Node.js-Hauptprozess zu kommunizieren.
Die WebCodecs-API bietet eine Schnittstelle zum Kodieren und Dekodieren von Medien wie Video und Audio im Browser.
Überprüfen Sie die Version von Electron, die Sie verwenden. Wenn sie älter als 39.8.0, 40.7.0 oder 41.0.0-beta.8 ist, ist sie anfällig.
Wenn Sie nicht sofort aktualisieren können, sollten Sie zusätzliche Maßnahmen zur Risikominderung ergreifen, z. B. Eingabevalidierung und Datenbereinigung.
Es gibt derzeit keine speziellen Tools, um diese Schwachstelle zu erkennen, aber eine gründliche Code-Überprüfung wird empfohlen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.