CVE-2026-34777: Permisos incorrectos en iframe de Electron ≤38.8.6
Plataforma
nodejs
Componente
electron
La vulnerabilidad CVE-2026-34777 en Electron permite que un iframe reciba permisos incorrectos al solicitar `fullscreen`, `pointerLock`, etc. Esto ocurre porque el origen pasado a `session.setPermissionRequestHandler()` es el de la página principal en lugar del iframe. Afecta a versiones ≤38.8.6. No hay parche oficial disponible.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34777?
Es una vulnerabilidad en Electron que permite que iframes obtengan permisos indebidos debido a una validación de origen incorrecta al solicitar permisos como `fullscreen`.
¿Estoy afectado por CVE-2026-34777?
Estás afectado si usas Electron versión 38.8.6 o anterior y tu aplicación concede permisos basándose en el origen o `webContents.getURL()` sin verificar `details.requestingUrl`.
¿Cómo puedo solucionar o mitigar CVE-2026-34777?
No hay una solución oficial. Como mitigación, verifica `details.requestingUrl` en tu `setPermissionRequestHandler` para asegurar que el origen coincida con el iframe esperado.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis