Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
La CVE-2026-34777 affecte Electron et permet une falsification d'origine lors de requêtes de permissions par une iframe. L'origine incorrecte passée à session.setPermissionRequestHandler() peut mener à l'octroi de permissions erronées à du contenu tiers embarqué. Les versions d'Electron affectées sont celles inférieures ou égales à 38.8.6. Aucun correctif officiel n'est disponible à ce jour.
La vulnérabilité CVE-2026-34777 dans Electron affecte la manière dont les demandes de permissions sont gérées dans les iframes. Plus précisément, lorsqu'une iframe demande des permissions telles que le mode plein écran, le verrouillage du pointeur, le verrouillage du clavier, l'ouverture externe ou l'accès aux médias, Electron utilisait l'origine de la page de niveau supérieur au lieu de l'origine de l'iframe demandante lors du traitement de ces demandes via session.setPermissionRequestHandler(). Cela signifie qu'une application qui s'appuie sur l'origine pour déterminer s'il faut accorder une permission pourrait involontairement accorder des permissions à du contenu tiers intégré dans l'iframe, ce qui pourrait entraîner une élévation de privilèges ou un accès non autorisé à des ressources sensibles.
Un attaquant pourrait exploiter cette vulnérabilité en injectant du code malveillant dans une iframe au sein d'une application Electron. Ce code pourrait demander des permissions sensibles (comme l'accès à la caméra ou au microphone), et, en raison de l'erreur de gestion de l'origine, l'application pourrait accorder ces permissions au code malveillant. Cela pourrait permettre à l'attaquant d'espionner l'utilisateur, de voler des informations confidentielles ou d'effectuer d'autres actions malveillantes en son nom. La probabilité d'exploitation dépend de la prévalence des applications Electron vulnérables et de la facilité avec laquelle les attaquants peuvent injecter du code malveillant dans des iframes.
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité est de mettre à niveau vers la version 38.8.6 ou supérieure d'Electron. Cette version corrige le problème en garantissant que session.setPermissionRequestHandler() reçoit l'origine correcte de l'iframe demandante. Les développeurs sont fortement encouragés à mettre à jour leurs applications Electron dès que possible pour atténuer le risque. De plus, il est recommandé de revoir et de renforcer la logique de contrôle des permissions afin de s'assurer qu'elle repose sur des critères robustes et non uniquement sur l'origine, en particulier lors du traitement de contenu tiers. Surveiller régulièrement les dépendances et appliquer des correctifs de sécurité est une pratique essentielle pour maintenir la sécurité des applications Electron.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Verifique que su código no dependa de la origin del iframe para la autorización, sino que utilice `details.requestingUrl` para validar las solicitudes de permisos. Esto evitará que se otorguen permisos a contenido de terceros incrustado.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Electron est un framework pour créer des applications de bureau multiplateformes à l'aide de technologies web telles que HTML, CSS et JavaScript.
Cette mise à jour corrige une vulnérabilité de sécurité qui pourrait permettre à du contenu malveillant d'obtenir des permissions non autorisées dans une application Electron.
Si vous ne pouvez pas mettre à jour immédiatement, examinez attentivement votre code de contrôle des permissions et assurez-vous qu'il ne repose pas uniquement sur l'origine pour déterminer s'il faut accorder une permission.
Si vous utilisez une version d'Electron antérieure à 38.8.6, votre application est vulnérable à cette vulnérabilité.
Vous pouvez trouver plus d'informations sur cette vulnérabilité sur le site web d'Electron et dans les bases de données de vulnérabilités telles que CVE.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.