Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
La vulnérabilité CVE-2026-34770 est de type Use-After-Free affectant le module powerMonitor d'electron. Les applications utilisant ce module peuvent être vulnérables, car les ressources liées à l'objet PowerMonitor conservent des références non valides après la garbage collection. Cela peut entraîner un crash ou une corruption de la mémoire. Les versions d'electron inférieures ou égales à 38.8.6 sont concernées. Aucun correctif officiel n'est actuellement disponible.
La vulnérabilité CVE-2026-34770 dans Electron affecte les versions antérieures à 38.8.6, 39.8.1, 40.8.0 et 41.0.0-beta.8, présentant un risque de 'use-after-free' lors de l'utilisation du module powerMonitor. Cela se produit parce que, après que l'objet natif PowerMonitor a été collecté par le ramasse-miettes, les ressources associées au niveau du système d'exploitation (une fenêtre de message sur Windows, un gestionnaire d'arrêt sur macOS) conservent des références suspendues. Un événement de changement de session ultérieur (Windows) ou un arrêt du système (macOS) peut déclencher un comportement imprévisible, permettant potentiellement à un attaquant d'exécuter du code arbitraire ou de provoquer un déni de service. La sévérité est notée CVSS 7.0, indiquant un risque modéré.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant soit capable de déclencher un événement de changement de session (sur Windows) ou un arrêt du système (sur macOS) après que l'objet PowerMonitor a été collecté par le ramasse-miettes. Cela pourrait être réalisé en manipulant le système d'exploitation ou en exécutant du code malveillant dans l'application Electron. La difficulté d'exploitation dépend de la capacité de l'attaquant à contrôler le flux d'événements du système. Bien que l'exploitation puisse être complexe, l'impact potentiel (exécution de code arbitraire) justifie l'application de la correction.
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à niveau vers la version 38.8.6 ou supérieure d'Electron, 39.8.1 ou supérieure, 40.8.0 ou supérieure, ou 41.0.0-beta.8 ou supérieure. Ces versions incluent des corrections qui éliminent les références suspendues et empêchent l'utilisation après libération. Les développeurs utilisant Electron sont fortement encouragés à mettre à jour leurs applications dès que possible pour atténuer ce risque. De plus, examinez votre code pour vous assurer que le module powerMonitor est utilisé de manière sécurisée et que des références inutiles ne sont pas créées. Appliquer des correctifs de sécurité est une pratique essentielle pour maintenir la sécurité des applications Electron.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8. Esta actualización aborda el problema de uso posterior a la liberación al gestionar correctamente los recursos del sistema operativo después de que se recolecten mediante el recolector de basura.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une erreur qui se produit lorsqu'un programme tente d'accéder à de la mémoire qui a déjà été libérée, ce qui peut entraîner un comportement imprévisible ou une vulnérabilité de sécurité.
C'est un module d'Electron qui permet aux applications de surveiller et de répondre aux événements liés à l'alimentation du système, tels que les changements de batterie ou l'arrêt du système.
Vous pouvez vérifier la version d'Electron en exécutant electron --version dans votre terminal.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures d'atténuation temporaires, telles que la limitation de l'utilisation du module powerMonitor ou la mise en œuvre de vérifications supplémentaires pour empêcher l'accès à la mémoire libérée.
Oui, il existe des outils d'analyse statique et dynamique qui peuvent aider à détecter les vulnérabilités de 'use-after-free' dans le code Electron.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.