Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34772 est une vulnérabilité de type Use-After-Free affectant Electron. Elle se manifeste lorsqu'une session est détruite alors qu'une boîte de dialogue de sauvegarde native est ouverte, conduisant potentiellement à un crash ou à une corruption de la mémoire. Les versions d'Electron affectées sont les versions inférieures ou égales à 38.8.6. Cette vulnérabilité est corrigée dans les versions 41.0.0-beta.7, 40.7.0, 39.8.0 et 38.8.6.
La vulnérabilité CVE-2026-34772 affecte les applications Electron qui permettent les téléchargements et détruisent les sessions utilisateur de manière programmatique. La vulnérabilité réside dans une utilisation potentielle de mémoire libérée (use-after-free). Si une session est interrompue alors qu'une boîte de dialogue de sauvegarde native pour un téléchargement est ouverte, la fermeture de la boîte de dialogue peut entraîner un accès à une mémoire déjà libérée, ce qui pourrait entraîner un crash de l'application ou une corruption de la mémoire. Cette vulnérabilité est particulièrement pertinente pour les applications qui gèrent les téléchargements de fichiers et qui mettent en œuvre des mécanismes de terminaison de session dynamique. Le score de gravité CVSS est de 5,8, ce qui indique un risque modéré.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant initie un téléchargement alors que l'application Electron est en cours d'exécution et déclenche simultanément la fermeture de la session de l'utilisateur avant que la boîte de dialogue de sauvegarde ne soit terminée. Cela pourrait être réalisé grâce à une séquence d'événements soigneusement orchestrée, telle qu'une action de l'utilisateur qui déclenche la fermeture de la session pendant que le téléchargement est en cours. La difficulté d'exploitation dépend de l'architecture de l'application et de la manière dont les sessions et les téléchargements sont gérés. Une exploitation réussie pourrait entraîner l'exécution de code arbitraire ou un déni de service.
Applications built with Electron that allow downloads and programmatically destroy user sessions are at risk. This includes desktop applications, progressive web apps (PWAs), and any Electron-based software that handles file downloads and user authentication. Specifically, applications with poorly implemented session management or download handling are particularly vulnerable.
• windows / supply-chain: Monitor Electron processes (Get-Process electron) for unusual memory usage patterns. Check scheduled tasks for suspicious scripts that might be manipulating Electron sessions.
Get-Process electron | Select-Object Name, CPU, WorkingSet• linux / server: Use journalctl to filter for Electron application crashes or errors related to memory access.
journalctl -u electron -g 'memory access' --since '1 hour'• generic web: Examine web application logs for errors related to Electron components or download processes. Check for unusual network requests associated with Electron applications.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
L'atténuation principale de CVE-2026-34772 consiste à éviter de détruire les sessions utilisateur pendant qu'une boîte de dialogue de sauvegarde de téléchargement est active. Si un téléchargement est en cours, il est recommandé d'annuler le téléchargement avant de fermer la session. La mise à niveau vers la version 38.8.6 d'Electron est la solution définitive, car cette version inclut la correction pour cette vulnérabilité. De plus, il est important d'examiner le code de l'application pour identifier et corriger tout cas de fermeture de session prématurée pendant les téléchargements. Des tests approfondis peuvent aider à détecter et à prévenir ce type de problème.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de probar exhaustivamente su aplicación después de la actualización para garantizar la compatibilidad. Si no es posible actualizar inmediatamente, considere implementar medidas de mitigación para evitar la destrucción de sesiones mientras se abren diálogos de guardado de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Electron est un framework pour créer des applications de bureau multiplateformes à l'aide de technologies web telles que HTML, CSS et JavaScript.
La vulnérabilité pourrait provoquer le crash de l'application ou un comportement inattendu. Dans des cas plus graves, elle pourrait permettre à un attaquant d'exécuter du code malveillant sur le système de l'utilisateur.
Il est fortement recommandé de mettre à niveau vers la version 38.8.6 ou une version ultérieure qui contient la correction pour cette vulnérabilité.
En tant que solution temporaire, vous pouvez éviter de détruire les sessions pendant qu'un téléchargement est en cours ou annuler les téléchargements en attente avant de fermer la session.
Vous pouvez trouver plus d'informations sur CVE-2026-34772 dans les bases de données de vulnérabilités telles que la National Vulnerability Database (NVD) et dans la documentation d'Electron.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.