Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
La CVE-2026-34766 concerne une validation insuffisante de l'ID de périphérique USB sélectionné dans Electron. Un attaquant pourrait potentiellement influencer la sélection d'un périphérique en dehors des filtres prévus, accordant ainsi un accès non autorisé. Cette vulnérabilité affecte les versions d'Electron antérieures à la version 38.8.6. La version 38.8.6 corrige ce problème.
La vulnérabilité CVE-2026-34766 dans Electron affecte la manière dont les périphériques USB sont gérés via WebUSB. Plus précisément, la fonction de rappel d'événement select-usb-device ne validait pas correctement l'ID du périphérique sélectionné par rapport à la liste filtrée présentée au gestionnaire. Cela permettait à une application malveillante, capable d'influencer le gestionnaire, de sélectionner un ID de périphérique qui ne correspondait pas aux filters demandés par le rendu ou qui était présent dans la liste exclusionFilters. Bien que la liste noire de sécurité de WebUSB restait appliquée, protégeant les périphériques sensibles, cette vulnérabilité permettait l'accès à des périphériques non désirés.
Un attaquant pourrait exploiter cette vulnérabilité s'il peut contrôler le code qui gère la sélection du périphérique USB dans une application Electron. Cela pourrait être réalisé par l'injection de code malveillant ou la manipulation de l'entrée utilisateur. L'attaquant pourrait alors sélectionner un périphérique USB non autorisé, compromettant potentiellement la sécurité du système. La difficulté d'exploitation dépend de la complexité de l'application Electron et des mesures de sécurité mises en œuvre.
Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.
• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.
Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
Get-Process -Id $_.Id | Select-Object DeviceHandles
}• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".
journalctl | grep "WebUSB" -idisclosure
Statut de l'Exploit
EPSS
0.02% (percentile 7%)
CISA SSVC
Vecteur CVSS
La correction de cette vulnérabilité consiste à mettre à jour vers la version 38.8.6 ou supérieure d'Electron. Cette mise à jour implémente une validation plus stricte de l'ID du périphérique sélectionné, garantissant qu'il correspond aux filtres spécifiés. Les développeurs sont fortement encouragés à mettre à jour leurs applications Electron dès que possible pour atténuer ce risque. De plus, examinez votre code à la recherche de points d'entrée potentiels où un attaquant pourrait influencer la sélection du périphérique.
Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
WebUSB est une API web qui permet aux applications web d'accéder aux périphériques USB connectés à l'ordinateur de l'utilisateur.
Les utilisateurs peuvent être affectés si une application Electron malveillante exploite cette vulnérabilité pour accéder à des périphériques USB non autorisés.
Mettez à jour votre application Electron vers la version 38.8.6 ou supérieure dès que possible.
Oui, la liste noire de sécurité de WebUSB reste efficace et protège les périphériques sensibles.
Consultez l'avis de sécurité d'Electron pour plus de détails : [Lien vers l'avis de sécurité d'Electron]
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.