UNKNOWNCVE-2026-34775
CVE-2026-34775: electron Node.js統合の脆弱性 (CVSS 6.8)
プラットフォーム
nodejs
コンポーネント
electron
修正バージョン
38.8.6
CVE-2026-34775は、electronの`nodeIntegrationInWorker` webPreferenceが、特定の設定で正しくスコープされない脆弱性です。この脆弱性により、`nodeIntegrationInWorker: false`で設定されたフレーム内で生成されたワーカーが、Node.js統合を受け取る可能性があります。この問題は、`nodeIntegrationInWorker`を有効にしているアプリケーションにのみ影響します。バージョン41.0.0, 40.8.4, 39.8.4, 38.8.6で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-34775とは何ですか?
CVE-2026-34775は、electronの`nodeIntegrationInWorker`が不正にスコープされることで、Node.js統合が意図しないワーカーに提供される脆弱性です。
自分のアプリはCVE-2026-34775の影響を受けますか?
`nodeIntegrationInWorker`を有効にしており、異なるwebPreferencesを持つ子ウィンドウを開いたり、コンテンツを埋め込んだりする場合に影響を受ける可能性があります。使用していない場合は影響を受けません。
CVE-2026-34775を修正するにはどうすればよいですか?
electronをバージョン41.0.0, 40.8.4, 39.8.4, または38.8.6以降にアップデートしてください。また、異なるwebPreferencesを持つコンテンツを扱う場合は、`nodeIntegrationInWorker`の有効化を避けてください。