Electron : la sélection du périphérique USB n’est pas validée par rapport à la liste des périphériques filtrés
Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
La CVE-2026-34766 concerne une validation insuffisante de l'ID de périphérique USB sélectionné dans Electron. Un attaquant pourrait potentiellement influencer la sélection d'un périphérique en dehors des filtres prévus, accordant ainsi un accès non autorisé. Cette vulnérabilité affecte les versions d'Electron antérieures à la version 38.8.6. La version 38.8.6 corrige ce problème.
Impact et Scénarios d'Attaque
La vulnérabilité CVE-2026-34766 dans Electron affecte la manière dont les périphériques USB sont gérés via WebUSB. Plus précisément, la fonction de rappel d'événement select-usb-device ne validait pas correctement l'ID du périphérique sélectionné par rapport à la liste filtrée présentée au gestionnaire. Cela permettait à une application malveillante, capable d'influencer le gestionnaire, de sélectionner un ID de périphérique qui ne correspondait pas aux filters demandés par le rendu ou qui était présent dans la liste exclusionFilters. Bien que la liste noire de sécurité de WebUSB restait appliquée, protégeant les périphériques sensibles, cette vulnérabilité permettait l'accès à des périphériques non désirés.
Contexte d'Exploitation
Un attaquant pourrait exploiter cette vulnérabilité s'il peut contrôler le code qui gère la sélection du périphérique USB dans une application Electron. Cela pourrait être réalisé par l'injection de code malveillant ou la manipulation de l'entrée utilisateur. L'attaquant pourrait alors sélectionner un périphérique USB non autorisé, compromettant potentiellement la sécurité du système. La difficulté d'exploitation dépend de la complexité de l'application Electron et des mesures de sécurité mises en œuvre.
Qui Est à Risquetraduction en cours…
Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.
Étapes de Détectiontraduction en cours…
• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.
Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
Get-Process -Id $_.Id | Select-Object DeviceHandles
}• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".
journalctl | grep "WebUSB" -iChronologie de l'Attaque
- Disclosure
disclosure
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.02% (percentile 7%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Local — l'attaquant a besoin d'une session locale ou d'un shell sur le système.
- Attack Complexity
- Élevée — nécessite une condition de course, configuration non standard ou circonstances spécifiques.
- Privileges Required
- Faible — tout compte utilisateur valide est suffisant.
- User Interaction
- Requise — la victime doit ouvrir un fichier, cliquer sur un lien ou visiter une page.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Faible — accès partiel ou indirect à certaines données.
- Integrity
- Faible — l'attaquant peut modifier certaines données avec un impact limité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La correction de cette vulnérabilité consiste à mettre à jour vers la version 38.8.6 ou supérieure d'Electron. Cette mise à jour implémente une validation plus stricte de l'ID du périphérique sélectionné, garantissant qu'il correspond aux filtres spécifiés. Les développeurs sont fortement encouragés à mettre à jour leurs applications Electron dès que possible pour atténuer ce risque. De plus, examinez votre code à la recherche de points d'entrée potentiels où un attaquant pourrait influencer la sélection du périphérique.
Comment corrigertraduction en cours…
Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentes
Qu'est-ce que CVE-2026-34766 dans electron ?
WebUSB est une API web qui permet aux applications web d'accéder aux périphériques USB connectés à l'ordinateur de l'utilisateur.
Suis-je affecté(e) par CVE-2026-34766 dans electron ?
Les utilisateurs peuvent être affectés si une application Electron malveillante exploite cette vulnérabilité pour accéder à des périphériques USB non autorisés.
Comment corriger CVE-2026-34766 dans electron ?
Mettez à jour votre application Electron vers la version 38.8.6 ou supérieure dès que possible.
CVE-2026-34766 est-il activement exploité ?
Oui, la liste noire de sécurité de WebUSB reste efficace et protège les périphériques sensibles.
Où trouver l'avis officiel de electron pour CVE-2026-34766 ?
Consultez l'avis de sécurité d'Electron pour plus de détails : [Lien vers l'avis de sécurité d'Electron]
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.