CVE-2026-34769: Injection de commandes dans Electron ≤38.8.6
Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.6
La vulnérabilité CVE-2026-34769 affecte Electron et permet l'injection de commandes arbitraires via la webPreference `commandLineSwitches`. Un attaquant peut potentiellement désactiver le sandboxing du renderer ou les contrôles de sécurité web. Cette faille affecte les applications Electron ≤38.8.6 qui construisent des `webPreferences` à partir d'entrées non fiables. Pour corriger, ne pas utiliser d'entrées non validées dans `webPreferences`.
Comment corriger
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Questions fréquentes
Qu'est-ce que la vulnérabilité CVE-2026-34769 ?
CVE-2026-34769 est une vulnérabilité d'injection de commandes dans Electron, permettant de désactiver le sandboxing du renderer via la manipulation de `commandLineSwitches`.
Suis-je concerné par CVE-2026-34769 ?
Vous êtes concerné si votre application Electron (version ≤38.8.6) construit des `webPreferences` à partir de sources externes ou non fiables sans validation.
Comment corriger ou atténuer CVE-2026-34769 ?
Ne pas propager d'entrées non fiables dans `webPreferences`. Utiliser une liste blanche pour valider les configurations ou utiliser un objet `webPreferences` fixe et codé en dur.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement