CVE-2026-34768: Ejecución arbitraria en Electron ≤38.8.6
Plataforma
nodejs
Componente
electron
La vulnerabilidad CVE-2026-34768 en Electron permite la ejecución arbitraria en Windows. Esto ocurre porque `app.setLoginItemSettings({openAtLogin: true})` escribe la ruta del ejecutable al registro sin comillas. Afecta a versiones ≤38.8.6. No hay parche oficial disponible.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34768?
Es una vulnerabilidad en Electron que permite la ejecución arbitraria en Windows al escribir la ruta del ejecutable al registro sin comillas en `app.setLoginItemSettings({openAtLogin: true})`.
¿Estoy afectado por CVE-2026-34768?
Estás afectado si usas Electron versión 38.8.6 o anterior en Windows y tu aplicación se instala en una ruta que contiene espacios y utiliza `app.setLoginItemSettings({openAtLogin: true})`.
¿Cómo puedo solucionar o mitigar CVE-2026-34768?
No hay una solución oficial. Como mitigación, instala la aplicación en una ruta sin espacios o en una ubicación donde los usuarios estándar no tengan permisos de escritura.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis