CVE-2026-34777 : Falsification d'origine dans Electron ≤38.8.6
Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.6
La CVE-2026-34777 affecte Electron et permet une falsification d'origine lors de requêtes de permissions par une iframe. L'origine incorrecte passée à `session.setPermissionRequestHandler()` peut mener à l'octroi de permissions erronées à du contenu tiers embarqué. Les versions d'Electron affectées sont celles inférieures ou égales à 38.8.6. Aucun correctif officiel n'est disponible à ce jour.
Comment corriger
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Questions fréquentes
Qu'est-ce que la CVE-2026-34777 ?
La CVE-2026-34777 est une vulnérabilité dans Electron qui permet à une iframe de falsifier son origine lors de requêtes de permissions, potentiellement accordant des droits indus à du contenu tiers.
Suis-je affecté par la CVE-2026-34777 ?
Vous êtes affecté si vous utilisez Electron en version inférieure ou égale à 38.8.6 et que votre application accorde des permissions basées sur l'origine ou `webContents.getURL()` sans vérifier `details.requestingUrl`.
Comment corriger ou atténuer la CVE-2026-34777 ?
Aucun correctif officiel n'est disponible pour le moment. En attendant, assurez-vous de vérifier `details.requestingUrl` dans votre gestionnaire de requêtes de permissions pour valider l'origine réelle de la requête.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement