CVE-2026-34778: Spoofing IPC dans Electron ≤38.8.6
Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.6
La vulnérabilité CVE-2026-34778 permet à un service worker de falsifier des messages de réponse sur le canal IPC interne utilisé par `webContents.executeJavaScript()` dans Electron. Cela peut conduire à ce que la promesse du processus principal se résolve avec des données contrôlées par l'attaquant. Les applications sont affectées si elles ont des service workers enregistrés et utilisent le résultat de `webContents.executeJavaScript()` dans des décisions sensibles à la sécurité. Il n'existe pas de correctif officiel.
Comment corriger
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Questions fréquentes
Qu'est-ce que la vulnérabilité CVE-2026-34778 ?
CVE-2026-34778 est une vulnérabilité dans Electron qui permet à un service worker de falsifier des messages IPC, potentiellement permettant à un attaquant de contrôler les données renvoyées par `webContents.executeJavaScript()`.
Suis-je affecté par CVE-2026-34778 ?
Vous êtes affecté si vous utilisez Electron version ≤38.8.6 et que votre application utilise des service workers et se fie au résultat de `webContents.executeJavaScript()` pour des décisions de sécurité.
Comment puis-je corriger ou atténuer CVE-2026-34778 ?
Évitez de faire confiance à la valeur de retour de `webContents.executeJavaScript()` pour les décisions de sécurité. Utilisez des canaux IPC dédiés et validés pour les données sensibles. Il n'existe pas de correctif officiel pour cette vulnérabilité.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement