CVE-2026-34774: Use-After-Free en electron <=39.8.1 (CVSS 8.1)
Plataforma
nodejs
Componente
electron
La vulnerabilidad CVE-2026-34774 es un error de use-after-free que afecta a aplicaciones electron que utilizan renderizado fuera de pantalla (offscreen) y permiten ventanas hijas a través de `window.open()`. Si el `WebContents` padre se destruye mientras una ventana hija permanece abierta, los frames de pintura subsecuentes en la hija desreferencian memoria liberada, lo que puede llevar a un fallo o corrupción de memoria. Afecta versiones ≤39.8.1 de electron. No hay una solución oficial disponible en este momento.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34774?
Es un error de use-after-free en electron que ocurre cuando se destruye un `WebContents` offscreen mientras una ventana hija permanece abierta, llevando a corrupción de memoria.
¿Estoy afectado por CVE-2026-34774?
Estás afectado si tu aplicación electron utiliza renderizado offscreen (`webPreferences.offscreen: true`) y permite la creación de ventanas hijas a través de `setWindowOpenHandler` y usas versiones ≤39.8.1.
¿Cómo puedo solucionar o mitigar CVE-2026-34774?
Deniega la creación de ventanas hijas o evita el uso de renderizado offscreen. Asegúrate de actualizar a una versión parcheada de electron cuando esté disponible.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis