Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
La vulnérabilité CVE-2026-34768 affecte Electron et permet une injection de commande sur Windows via la fonction app.setLoginItemSettings. Si l'application est installée dans un chemin contenant des espaces, un attaquant peut exécuter un autre exécutable au démarrage. Cette vulnérabilité affecte les versions d'Electron antérieures à la version 38.8.6. La version 38.8.6 corrige ce problème.
CVE-2026-34768 affecte Electron sur Windows. La fonction app.setLoginItemSettings({openAtLogin: true}) écrivait le chemin d'accès à l'exécutable dans la clé de registre Run sans utiliser de guillemets. Cela signifie que si l'application est installée dans un chemin contenant des espaces, un attaquant disposant d'un accès en écriture à un répertoire parent peut potentiellement faire exécuter un autre exécutable au démarrage au lieu de l'application prévue. La vulnérabilité réside dans la gestion incorrecte des chemins contenant des espaces au sein du registre Windows, permettant la substitution de l'exécutable légitime. Bien que les répertoires système soient généralement protégés contre les écritures par les utilisateurs standard, l'exploitation nécessite généralement une installation non standard ou des privilèges élevés.
L'exploitation de cette vulnérabilité nécessite que l'attaquant ait la capacité d'écrire dans un répertoire parent du chemin d'installation de l'application Electron. Dans les environnements Windows standard, cela est peu probable en raison des protections de sécurité. Cependant, si l'application a été installée dans un emplacement non standard ou si l'attaquant a obtenu un accès administratif au système, l'exploitation devient plus réalisable. L'attaquant pourrait créer un exécutable malveillant portant le même nom que l'application Electron et le placer dans un répertoire accessible, puis modifier la clé de registre Run pour qu'elle pointe vers cet exécutable malveillant. Au démarrage, au lieu de l'application Electron légitime, le code malveillant serait exécuté.
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
CISA SSVC
Vecteur CVSS
La solution à CVE-2026-34768 consiste à mettre à jour Electron vers la version 38.8.6 ou supérieure. Cette version corrige la vulnérabilité en s'assurant que les chemins d'accès aux exécutables sont écrits correctement dans la clé de registre Run, y compris l'utilisation de guillemets pour gérer les chemins contenant des espaces. Il est recommandé d'appliquer cette mise à jour dès que possible afin d'atténuer le risque d'exécution de code non autorisé au démarrage. De plus, examinez les permissions d'écriture sur les répertoires d'installation de l'application Electron pour vous assurer que seuls les utilisateurs autorisés peuvent modifier les paramètres de démarrage. La mise à jour est la mesure préventive la plus efficace.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comillas en la ruta del ejecutable al registrar el elemento de inicio de sesión en Windows, previniendo la ejecución de ejecutables maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Electron est un framework pour créer des applications de bureau multiplateformes à l'aide de technologies web telles que HTML, CSS et JavaScript.
Cette mise à jour corrige une vulnérabilité de sécurité qui pourrait permettre à un attaquant d'exécuter du code malveillant au démarrage.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de restreindre les permissions d'écriture sur le répertoire d'installation de l'application Electron.
Cette vulnérabilité affecte les applications Electron qui utilisent la fonction app.setLoginItemSettings({openAtLogin: true}) et sont installées dans des chemins contenant des espaces sur Windows.
Vous pouvez trouver plus d'informations sur cette vulnérabilité dans l'avis de sécurité d'Electron et les bases de données de vulnérabilités telles que CVE.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.