Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
La vulnérabilité CVE-2026-34775 affecte Electron et concerne une mauvaise gestion de la webPreference nodeIntegrationInWorker. Dans certains scénarios de partage de processus, les workers lancés dans des frames configurés avec nodeIntegrationInWorker: false pouvaient recevoir l'intégration Node.js. L'impact potentiel est l'exécution de code non autorisé. Les versions affectées sont les versions inférieures ou égales à 38.8.6. Cette vulnérabilité a été corrigée dans les versions 41.0.0, 40.8.4, 39.8.4 et 38.8.6.
La CVE-2026-34775 affecte Electron, un framework populaire pour la création d'applications de bureau multiplateformes. La vulnérabilité réside dans la manière dont la préférence web nodeIntegrationInWorker est gérée. Avant les versions 38.8.6, 39.8.4, 40.8.4 et 41.0.0, cette préférence n'était pas correctement définie dans toutes les configurations. Cela signifie que, dans certains scénarios de partage de processus, les workers créés dans des frames configurés avec nodeIntegrationInWorker: false pouvaient toujours recevoir l'intégration Node.js. Cette intégration permet aux workers d'exécuter du code JavaScript avec accès aux API Node.js, ce qui peut être dangereux si ce n'est pas correctement contrôlé. La vulnérabilité n'est pertinente que pour les applications qui activent explicitement nodeIntegrationInWorker. La sévérité de la vulnérabilité a été notée 6.8 sur l'échelle CVSS.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant puisse contrôler le contenu d'un frame au sein de l'application Electron et que l'application ait nodeIntegrationInWorker activé. L'attaquant peut injecter du code malveillant dans le frame et, en tirant parti de l'intégration Node.js, exécuter du code arbitraire dans le contexte de l'application Electron. Cela peut permettre à l'attaquant d'accéder à des données sensibles, de modifier le comportement de l'application ou même de prendre le contrôle total du système. La probabilité d'exploitation dépend de la configuration de l'application et de l'exposition de l'application à du contenu non fiable.
Applications built with Electron that utilize workers and have enabled nodeIntegrationInWorker are at risk. This includes desktop applications that handle sensitive data, interact with external APIs, or process user input. Shared hosting environments where multiple Electron applications share resources could also be vulnerable if one application is compromised.
• linux / server:
ps aux | grep -i electron | grep -i 'nodeIntegrationInWorker'• windows / supply-chain:
Get-Process -Name Electron | Select-Object -ExpandProperty Path | ForEach-Object { Get-ChildItem $_ -Recurse | Where-Object {$_.Name -match 'nodeIntegrationInWorker'}} • generic web:
Inspect Electron application's web preferences for nodeIntegrationInWorker configuration. Review application code for worker creation and usage patterns.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La solution pour atténuer la CVE-2026-34775 est de mettre à jour vers une version d'Electron qui corrige la vulnérabilité. Les versions affectées sont toutes les versions antérieures à 38.8.6, 39.8.4, 40.8.4 et 41.0.0. Il est fortement recommandé de mettre à jour vers la dernière version disponible (actuellement 38.8.6 ou supérieure). De plus, examinez la configuration de nodeIntegrationInWorker dans votre application pour vous assurer qu'elle n'est activée que lorsque cela est absolument nécessaire. Si nodeIntegrationInWorker n'est pas utilisé, le désactiver peut réduire la surface d'attaque de l'application. La mise à jour doit être effectuée en suivant les instructions de mise à niveau fournies par l'équipe Electron.
Actualice Electron a la versión 38.8.6, 39.8.4, 40.8.4 o 41.0.0 para mitigar la vulnerabilidad. Asegúrese de que la opción `nodeIntegrationInWorker` esté configurada correctamente para evitar la ejecución no intencionada de código Node.js en workers.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Electron est un framework pour créer des applications de bureau multiplateformes à l'aide de technologies web telles que HTML, CSS et JavaScript.
C'est une préférence Electron qui contrôle si les workers (processus enfants) peuvent accéder aux API Node.js.
Si vous utilisez Electron et avez activé nodeIntegrationInWorker, votre application est probablement affectée. Vérifiez la version d'Electron que vous utilisez et mettez à jour si nécessaire.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de désactiver nodeIntegrationInWorker si ce n'est pas essentiel à la fonctionnalité de votre application.
Vous pouvez trouver plus d'informations sur la CVE-2026-34775 sur le site web de la National Vulnerability Database (NVD) et sur le blog d'Electron.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.