CVE-2026-34780 : Contournement d'isolation dans Electron
Plateforme
nodejs
Composant
electron
Corrigé dans
39.8.0
La vulnérabilité CVE-2026-34780 affecte Electron et permet un contournement de l'isolation de contexte via l'utilisation de l'API WebCodecs et des objets `VideoFrame` passés via le `contextBridge`. Un attaquant exploitant une faille XSS peut ainsi accéder au monde isolé et aux API Node.js exposées. Cette vulnérabilité impacte les versions 39.0.0-alpha.1 à 39.8.0 d'Electron. Il n'existe pas de correctif officiel à ce jour.
Comment corriger
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Questions fréquentes
Qu'est-ce que la vulnérabilité CVE-2026-34780 ?
CVE-2026-34780 est une vulnérabilité dans Electron qui permet un contournement de l'isolation de contexte via l'API WebCodecs et les objets `VideoFrame`.
Suis-je affecté par la vulnérabilité CVE-2026-34780 ?
Vous êtes affecté si votre application Electron utilise `contextBridge.exposeInMainWorld()` pour passer des objets `VideoFrame` au monde principal et utilise les versions 39.0.0-alpha.1 à 39.8.0 d'Electron.
Comment puis-je corriger ou atténuer la vulnérabilité CVE-2026-34780 ?
Évitez de passer des objets `VideoFrame` via `contextBridge.exposeInMainWorld()`. Il n'existe pas de correctif officiel pour cette vulnérabilité pour le moment.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement