Plateforme
nodejs
Composant
electron
Corrigé dans
39.0.1
40.0.1
41.0.1
La vulnérabilité CVE-2026-34780 affecte Electron et permet un contournement de l'isolation de contexte via l'utilisation de l'API WebCodecs et des objets VideoFrame passés via le contextBridge. Un attaquant exploitant une faille XSS peut ainsi accéder au monde isolé et aux API Node.js exposées. Cette vulnérabilité impacte les versions 39.0.0-alpha.1 à 39.8.0 d'Electron. Il n'existe pas de correctif officiel à ce jour.
CVE-2026-34780 affecte Electron, un framework pour la création d'applications de bureau multiplateformes. La vulnérabilité réside dans la manière dont les objets VideoFrame (provenant de l'API WebCodecs) sont gérés lorsqu'ils sont transmis via un contextBridge. Dans les versions 39.0.0-alpha.1 et antérieures à 39.8.0, 40.0.0-alpha.1 et antérieures à 40.7.0, et 41.0.0-alpha.1 et antérieures à 41.0.0-beta.8, un attaquant capable d'exécuter du JavaScript dans le monde principal (par exemple, via XSS) peut utiliser un VideoFrame ponté pour contourner l'isolation du contexte et potentiellement accéder à des ressources protégées. Cela pourrait entraîner l'exécution de code arbitraire ou l'accès à des données sensibles au sein de l'application Electron.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant ait la capacité d'exécuter du JavaScript dans le contexte principal de l'application Electron. Cela pourrait être réalisé par le biais d'une vulnérabilité Cross-Site Scripting (XSS) dans l'application ou par la manipulation d'un composant vulnérable. Une fois que l'attaquant a le contrôle du JavaScript dans le contexte principal, il peut créer un VideoFrame malveillant et le transmettre via contextBridge pour contourner l'isolation du contexte et exécuter du code arbitraire dans le contexte isolé.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La solution à cette vulnérabilité consiste à mettre à jour vers une version d'Electron qui inclut la correction. Les versions affectées sont celles antérieures à 39.8.0, 40.7.0 et 41.0.0-beta.8. Il est fortement recommandé de mettre à jour vers la dernière version stable d'Electron disponible. De plus, examinez le code de votre application pour vous assurer que la gestion des VideoFrame via contextBridge est effectuée de manière sécurisée et que les données sensibles ne sont pas transmises sans validation appropriée. La mise en œuvre de contrôles de sécurité supplémentaires, tels que la validation des entrées et la désinfection des données, peut aider à atténuer le risque.
Actualice a una versión de Electron que incluya la corrección, como 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de que su preload script no esté exponiendo VideoFrame objects a través de contextBridge si no es absolutamente necesario. Revise su código para identificar y eliminar cualquier uso innecesario de VideoFrame objects en el contextoBridge.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
contextBridge est une fonctionnalité d'Electron qui permet aux applications web de communiquer de manière sécurisée avec le processus principal Node.js.
L'API WebCodecs fournit une interface pour encoder et décoder des médias, tels que la vidéo et l'audio, dans le navigateur.
Vérifiez la version d'Electron que vous utilisez. Si elle est antérieure à 39.8.0, 40.7.0 ou 41.0.0-beta.8, elle est vulnérable.
Si vous ne pouvez pas mettre à jour immédiatement, envisagez de mettre en œuvre des mesures d'atténuation supplémentaires, telles que la validation des entrées et la désinfection des données.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais une revue de code approfondie est recommandée.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.