CVE-2026-34769: Inyección de Switches en electron <=38.8.6
Plataforma
nodejs
Componente
electron
La vulnerabilidad CVE-2026-34769 permite la inyección de switches arbitrarios en la línea de comandos del proceso renderer a través de la webPreference `commandLineSwitches`, que no está documentada. Las aplicaciones que construyen `webPreferences` propagando objetos de configuración no confiables pueden permitir inadvertidamente que un atacante inyecte switches que deshabiliten el sandboxing del renderer o los controles de seguridad web. Afecta versiones ≤38.8.6 de electron. No hay una solución oficial disponible en este momento.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34769?
Es una vulnerabilidad en electron que permite la inyección de switches arbitrarios en la línea de comandos del proceso renderer, potencialmente deshabilitando medidas de seguridad.
¿Estoy afectado por CVE-2026-34769?
Estás afectado si tu aplicación electron construye `webPreferences` a partir de entradas externas o no confiables sin una lista de permitidos y usas versiones ≤38.8.6.
¿Cómo puedo solucionar o mitigar CVE-2026-34769?
No propagues entradas no confiables en `webPreferences`. Utiliza un objeto `webPreferences` fijo y codificado o implementa una lista de permitidos estricta para las opciones.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis