Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
La vulnérabilité CVE-2026-34769 affecte Electron et permet l'injection de commandes arbitraires via la webPreference commandLineSwitches. Un attaquant peut potentiellement désactiver le sandboxing du renderer ou les contrôles de sécurité web. Cette faille affecte les applications Electron ≤38.8.6 qui construisent des webPreferences à partir d'entrées non fiables. Pour corriger, ne pas utiliser d'entrées non validées dans webPreferences.
La vulnérabilité CVE-2026-34769 dans Electron permet à un attaquant d'injecter des commutateurs arbitraires dans la ligne de commande du processus de rendu. Cela est dû à une préférence commandLineSwitches web non documentée qui permet d'ajouter des commutateurs supplémentaires. La vulnérabilité est exploitée lorsque les applications Electron construisent leurs préférences web à partir d'objets de configuration non fiables. Un attaquant pourrait exploiter cela pour désactiver le sandbox du rendu ou les contrôles de sécurité web, ce qui pourrait entraîner l'exécution de code arbitraire ou un accès non autorisé aux données sensibles. Les versions affectées sont celles antérieures à 38.8.6, 39.8.0, 40.7.0 et 41.0.0-beta.8. La sévérité CVSS est de 7,8, ce qui indique un risque élevé.
Un attaquant pourrait exploiter cette vulnérabilité s'il peut influencer la configuration des préférences web d'une application Electron. Cela pourrait se produire si l'application charge la configuration à partir d'un fichier externe ou si elle permet aux utilisateurs de personnaliser les préférences web via une interface utilisateur. L'attaquant pourrait injecter un commutateur malveillant dans la ligne de commande du rendu, ce qui lui permettrait de désactiver le sandbox du rendu et d'exécuter du code arbitraire dans le contexte de l'application Electron. La complexité de l'exploitation dépend de la capacité de l'attaquant à contrôler la configuration des préférences web.
Applications built with Electron that dynamically construct webPreferences from external or untrusted sources are at significant risk. This includes applications that load configuration files from user-provided locations or integrate with third-party services without proper input validation. Shared hosting environments where multiple Electron applications share the same system resources are also particularly vulnerable.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*electron*'} | Select-Object -ExpandProperty CommandLine• linux / server:
ps aux | grep electron | grep -- '--command-line-switches='• generic web: Inspect Electron application startup arguments for suspicious or unexpected command-line switches using process monitoring tools.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 6%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-34769 consiste à mettre à jour vers une version d'Electron qui inclut la correction, en particulier 38.8.6 ou ultérieure. Si une mise à jour immédiate n'est pas possible, examinez attentivement le code qui construit les préférences web et assurez-vous que des sources de données non fiables ne sont pas utilisées. Évitez d'utiliser des objets de configuration de préférences web provenant de sources externes sans validation approfondie. La mise en œuvre d'une validation stricte de toute entrée utilisateur utilisée pour configurer les préférences web peut aider à prévenir l'injection de commutateurs malveillants. La surveillance des journaux d'application à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles.
Actualice a una versión de Electron 38.8.6 o superior, 39.8.0 o superior, 40.7.0 o superior, o 41.0.0-beta.8 o superior. Evite construir webPreferences a partir de fuentes externas o no confiables sin una lista blanca de opciones permitidas.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Electron est un framework pour créer des applications de bureau multiplateformes à l'aide de technologies web telles que HTML, CSS et JavaScript.
Cette vulnérabilité pourrait permettre à un attaquant de compromettre la sécurité d'une application Electron, ce qui pourrait entraîner une perte de données ou l'exécution de code malveillant.
Si votre application Electron utilise des versions antérieures à 38.8.6, 39.8.0, 40.7.0 ou 41.0.0-beta.8, elle est vulnérable à cette vulnérabilité.
Examinez attentivement le code qui construit les préférences web et validez toute entrée utilisateur.
Consultez l'avis de sécurité d'Electron et les notes de version pour plus de détails.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.