Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
La CVE-2026-34771 décrit une vulnérabilité de type use-after-free affectant Electron. Cette faille se manifeste lors de la gestion asynchrone des requêtes de permission (plein écran, verrouillage du pointeur ou du clavier), pouvant entraîner un crash ou une corruption mémoire. Les versions d'Electron affectées sont celles inférieures ou égales à 38.8.6. Pour atténuer ce risque, il est recommandé de répondre aux demandes de permission de manière synchrone.
Cette vulnérabilité, CVE-2026-34771, affecte les applications Electron qui utilisent un gestionnaire de requêtes de permissions asynchrones (session.setPermissionRequestHandler()). Un attaquant pourrait exploiter cette faille en provoquant une navigation ou une fermeture de la fenêtre pendant que le gestionnaire de permission est en attente. Par exemple, une application de retouche photo utilisant Electron pourrait être compromise si un utilisateur ouvre un fichier malveillant qui déclenche une requête de permission fullscreen. Si le gestionnaire de permission asynchrone est en cours d'exécution lorsque la fenêtre se ferme, l'appel à la fonction de rappel stockée peut entraîner une tentative d'accès à une mémoire libérée (use-after-free). Cela pourrait conduire à un plantage de l'application, à une corruption de la mémoire, et potentiellement à une exécution de code arbitraire si l'attaquant peut contrôler le contenu de la mémoire corrompue. Le risque est particulièrement élevé pour les applications qui gèrent des données sensibles, telles que des informations financières ou personnelles, car une corruption de la mémoire pourrait compromettre l'intégrité de ces données. Le rayon d'impact est limité aux applications Electron vulnérables et à leurs utilisateurs. Une application qui ne définit pas de gestionnaire de permission ou dont le gestionnaire répond de manière synchrone n'est pas concernée.
À ce jour, il n'y a pas de rapports publics d'exploitation active de CVE-2026-34771. Il n'existe pas de preuve d'exploitation (KEV) disponible. Bien que la vulnérabilité soit classée comme de haute gravité (CVSS score de 7.5), l'absence de preuves d'exploitation publiques suggère que l'exploitation est difficile ou nécessite des connaissances techniques avancées. Cependant, il est important de noter que l'absence de preuves d'exploitation ne signifie pas que la vulnérabilité ne peut pas être exploitée à l'avenir. Il est donc fortement recommandé d'appliquer la correction dès que possible pour réduire le risque potentiel.
Applications built using Electron that register asynchronous session.setPermissionRequestHandler() are at risk. This includes a wide range of desktop applications, particularly those that handle user permissions or interact with system resources. Developers using Electron for cross-platform development, especially those relying on third-party libraries or components that utilize permission request handlers, should prioritize patching.
• linux / server: Monitor Electron application logs for crashes or segmentation faults. Use ps aux | grep electron to identify running Electron processes and check their resource usage for anomalies.
journalctl -u electron -f | grep -i crash• windows / supply-chain: Use Process Monitor to observe Electron processes and identify any unusual memory access patterns or crashes. Check Autoruns for suspicious Electron-related entries.
Get-Process -Name electron | Select-Object Id, CPU, WorkingSet• generic web: If the Electron application interacts with a web server, examine web server access logs for unusual requests that might trigger the permission request handler.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La solution la plus efficace pour corriger CVE-2026-34771 est de mettre à jour votre application Electron vers une version corrigée. Les versions corrigées sont 38.8.6, 39.8.0, 40.7.0 et 41.0.0-beta.8. Il est fortement recommandé de procéder à cette mise à jour dès que possible. Si la mise à jour n'est pas immédiatement possible, une solution de contournement temporaire consiste à éviter l'utilisation de gestionnaires de requêtes de permissions asynchrones (session.setPermissionRequestHandler()). Si cela n'est pas possible, assurez-vous que le gestionnaire de permission répond de manière synchrone. Après la mise à jour, il est important de vérifier que la vulnérabilité a bien été corrigée en testant l'application avec des scénarios qui déclenchent des requêtes de permission fullscreen, pointer-lock ou keyboard-lock, et en s'assurant qu'aucune erreur ou plantage ne se produit.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8. Esta actualización soluciona un problema de uso después de liberar que puede ocurrir al manejar solicitudes de permisos de pantalla completa, bloqueo de puntero o bloqueo de teclado, previniendo así posibles fallos o corrupción de memoria.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34771 is a HIGH severity vulnerability in Electron where a pending permission request handler can lead to memory corruption and crashes.
You are affected if you are using Electron versions 38.0.0–>= 41.0.0-alpha.1, < 41.0.0-beta.8 and have registered an asynchronous session.setPermissionRequestHandler().
Upgrade to Electron version 38.8.6 or later to resolve this vulnerability. Consider disabling the permission request handler if upgrading is not immediately possible.
There is currently no public information indicating active exploitation of CVE-2026-34771.
Refer to the Electron security advisories on the Electron GitHub repository for official information: https://github.com/electron/electron/security
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.