UNKNOWNCVE-2026-34778
CVE-2026-34778: electronのなりすまし脆弱性 (CVSS 5.9)
プラットフォーム
nodejs
コンポーネント
electron
修正バージョン
38.8.6
CVE-2026-34778は、electronの脆弱性で、サービスワーカーがwebContents.executeJavaScript()などの内部IPCチャネルで返信メッセージを偽装し、メインプロセスのPromiseを攻撃者が制御するデータで解決させる可能性があります。この脆弱性は、サービスワーカーを登録し、webContents.executeJavaScript()の結果をセキュリティ上の決定に使用している場合に影響します。バージョン38.8.6で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-34778とは何ですか?
electronのサービスワーカーにおける、なりすましを許してしまう脆弱性です。webContents.executeJavaScript()の返り値が信頼できなくなる可能性があります。
この脆弱性の影響を受けますか?
サービスワーカーを登録しており、webContents.executeJavaScript()の結果をセキュリティ上の決定に使用している場合に影響を受ける可能性があります。
どのように修正できますか?
electronをバージョン38.8.6以降にアップデートしてください。セキュリティ上の決定にwebContents.executeJavaScript()の返り値を使用しないことも有効です。