Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
La vulnérabilité CVE-2026-34778 permet à un service worker de falsifier des messages de réponse sur le canal IPC interne utilisé par webContents.executeJavaScript() dans Electron. Cela peut conduire à ce que la promesse du processus principal se résolve avec des données contrôlées par l'attaquant. Les applications sont affectées si elles ont des service workers enregistrés et utilisent le résultat de webContents.executeJavaScript() dans des décisions sensibles à la sécurité. Il n'existe pas de correctif officiel.
La vulnérabilité CVE-2026-34778 dans Electron permet à un service worker en cours d'exécution dans une session de falsifier les messages de réponse sur le canal IPC interne utilisé par webContents.executeJavaScript() et les méthodes associées. Cela pourrait entraîner la résolution de la promesse du processus principal avec des données contrôlées par l'attaquant. Les applications ne sont affectées que si elles ont des service workers enregistrés et utilisent le résultat de webContents.executeJavaScript() (ou webFrameMain.executeJavaScript()) dans des décisions sensibles à la sécurité. L'impact réside dans la possibilité pour un attaquant de manipuler les données utilisées dans une logique d'application critique, conduisant à des actions non autorisées ou des violations de données.
Un attaquant doit avoir la capacité d'exécuter du code JavaScript dans le contexte du render, ce qui est généralement réalisé par le biais d'un site web malveillant ou d'une injection de code. Une fois le service worker compromis, il peut intercepter et modifier les réponses de webContents.executeJavaScript(). Le succès de l'exploitation dépend de la confiance de l'application dans le résultat de executeJavaScript() pour les décisions liées à la sécurité. La complexité de l'exploitation varie en fonction de l'architecture de l'application et des mesures de sécurité existantes.
Applications built with Electron that register service workers and utilize webContents.executeJavaScript() for security-sensitive operations are at risk. This includes desktop applications, web applications packaged as desktop apps, and any Electron-based tools that rely on the return values of webContents.executeJavaScript() for authentication, authorization, or data validation.
• nodejs / supply-chain: Monitor Electron application processes for unusual IPC activity. Use ps aux | grep electron to identify running Electron processes. Inspect the arguments passed to webContents.executeJavaScript() for suspicious patterns.
• generic web: Examine application logs for errors related to IPC communication or unexpected data received from the renderer process. Look for unusual patterns in network traffic associated with the Electron application.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 3%)
CISA SSVC
Vecteur CVSS
La solution recommandée est de mettre à niveau Electron à la version 38.8.6 ou ultérieure. En tant que solution de contournement temporaire, ne faites pas confiance à la valeur de retour de webContents.executeJavaScript() pour les décisions sensibles à la sécurité. Envisagez de mettre en œuvre une validation supplémentaire dans le processus principal pour vérifier l'intégrité des données reçues. Examinez régulièrement le code de votre application pour identifier les instances de webContents.executeJavaScript() qui pourraient être vulnérables. La mise à niveau vers la version corrigée est la mitigation la plus efficace, en s'attaquant à la cause première de la vulnérabilité.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Asegúrese de que las aplicaciones no tomen decisiones de seguridad basadas en los resultados de `webContents.executeJavaScript()` o `webFrameMain.executeJavaScript()` cuando se utilizan service workers.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Un service worker est un script qui s'exécute en arrière-plan, séparé de la page web, et peut intercepter et manipuler les requêtes réseau.
Si votre application Electron utilise des service workers et fait confiance aux résultats de webContents.executeJavaScript() pour la sécurité, elle est vulnérable.
En tant que solution de contournement temporaire, n'effectuez pas confiance à la valeur de retour de webContents.executeJavaScript() et validez les données reçues.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais une revue manuelle du code est recommandée.
IPC signifie Inter-Process Communication, ou Communication Inter-Processus. C'est le mécanisme qui permet à différents processus dans un système de communiquer entre eux.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.