Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
La vulnérabilité CVE-2026-34776 est une lecture hors limites affectant les applications Electron sur macOS et Linux qui utilisent app.requestSingleInstanceLock(). Une application malveillante pourrait exploiter cette faille pour lire des données sensibles de la mémoire et les envoyer au gestionnaire d'événements second-instance. Seules les applications fonctionnant sous le même utilisateur sont concernées. Cette vulnérabilité est corrigée dans les versions 41.0.0 et 40.8.1 d'Electron.
La CVE-2026-34776 affecte les applications Electron utilisant app.requestSingleInstanceLock() sur macOS et Linux. La vulnérabilité permet une lecture en dehors des limites (out-of-bounds) dans le heap de mémoire lors du traitement d'un message de deuxième instance manipulé. Cela pourrait entraîner la transmission de mémoire corrompue au gestionnaire d'événements second-instance de l'application. Il est important de noter que cette vulnérabilité n'est exploitable que dans les processus s'exécutant avec le même utilisateur que l'application Electron. Les applications qui n'appellent pas app.requestSingleInstanceLock() ne sont pas affectées, et Windows est exclu de ce problème.
Un attaquant pourrait créer un message de deuxième instance malveillant et l'envoyer à une application Electron vulnérable utilisant app.requestSingleInstanceLock(). Si l'application traite ce message sans validation appropriée, une lecture en dehors des limites dans le heap de mémoire pourrait se produire, permettant potentiellement à l'attaquant de lire des informations sensibles ou même d'exécuter du code arbitraire. Le succès de l'exploitation dépend de la capacité de l'attaquant à contrôler le message de deuxième instance et de l'exécution du processus avec les mêmes privilèges que l'application Electron.
Developers and users of Electron applications that utilize app.requestSingleInstanceLock() on macOS and Linux are at risk. This includes applications built using frameworks like React, Angular, or Vue.js that leverage Electron for desktop deployment. Shared hosting environments where multiple Electron applications run under the same user account could amplify the potential impact.
• linux / server: Monitor Electron application logs for errors related to memory access or crashes. Use ps and lsof to identify running Electron processes and their associated files.
ps aux | grep electron
lsof -p $(pidof electron)• windows / supply-chain: Use Process Monitor to observe Electron application processes and identify any unusual file access patterns or memory reads. Check Autoruns for any suspicious Electron-related entries.
Get-Process electron | Select-Object Id, ProcessName, Path• generic web: While this vulnerability is not directly web-facing, monitor Electron-based desktop applications for unexpected behavior or crashes after receiving second-instance messages.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à jour vers la version 38.8.6 ou supérieure d'Electron. Actuellement, il n'existe aucun contournement au niveau de l'application pour atténuer ce problème. Les développeurs qui dépendent de app.requestSingleInstanceLock() sont fortement encouragés à mettre à jour leurs applications dès que possible pour éviter d'éventuelles attaques. Surveiller régulièrement les mises à jour d'Electron et appliquer les correctifs de sécurité est une pratique fondamentale pour maintenir la sécurité des applications.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.1 o 41.0.0. Esta actualización aborda una vulnerabilidad de lectura fuera de límites en el manejo de mensajes de segunda instancia, previniendo la posible fuga de memoria a aplicaciones que utilizan `app.requestSingleInstanceLock()`.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une fonction Electron qui garantit qu'une seule instance de l'application s'exécute à la fois. Si une deuxième instance est lancée, elle se connecte à la première.
Si votre application Electron utilise app.requestSingleInstanceLock() et s'exécute sur macOS ou Linux, elle est probablement vulnérable. Vérifiez votre version d'Electron.
En fonction de vos besoins, vous pouvez implémenter votre propre logique pour contrôler l'exécution de plusieurs instances, mais cela nécessite un effort de développement important.
Bien qu'il n'existe pas de contournements directs, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la validation stricte des données d'entrée, afin de réduire le risque d'exploitation.
Non, cette vulnérabilité n'affecte pas les applications Electron s'exécutant sur Windows.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.