CVE-2026-34778: Spoofing en Service Workers electron <=38.8.6
Plataforma
nodejs
Componente
electron
La vulnerabilidad CVE-2026-34778 permite que un service worker en ejecución en una sesión suplante mensajes de respuesta en el canal IPC interno utilizado por `webContents.executeJavaScript()` y métodos relacionados, causando que la promesa del proceso principal se resuelva con datos controlados por el atacante. Afecta versiones ≤38.8.6 de electron. No hay una solución oficial disponible en este momento.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34778?
Es una vulnerabilidad en electron que permite a un service worker suplantar mensajes de respuesta, permitiendo que un atacante controle los datos devueltos por `webContents.executeJavaScript()`.
¿Estoy afectado por CVE-2026-34778?
Estás afectado si tu aplicación electron tiene service workers registrados y utiliza el resultado de `webContents.executeJavaScript()` (o `webFrameMain.executeJavaScript()`) en decisiones sensibles a la seguridad y usas versiones ≤38.8.6.
¿Cómo puedo solucionar o mitigar CVE-2026-34778?
No confíes en el valor de retorno de `webContents.executeJavaScript()` para decisiones de seguridad. Utiliza canales IPC dedicados y validados para la comunicación relevante a la seguridad.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis