UNKNOWNCVE-2026-34768
CVE-2026-34768: electron ログイン時 RCE の脆弱性 (CVSS 3.9)
プラットフォーム
nodejs
コンポーネント
electron
修正バージョン
38.8.6
CVE-2026-34768は、electronにおいて、`app.setLoginItemSettings({openAtLogin: true})` が実行ファイルのパスを引用符で囲まずに `Run` レジストリキーに書き込む脆弱性です。これにより、パスにスペースが含まれる場合、攻撃者が別の実行可能ファイルを実行させる可能性があります。影響を受けるのは electron で、バージョン 38.8.6 で修正されました。
修正方法
公式パッチはありません。回避策を確認するか、アップデートを監視してください。
よくある質問
CVE-2026-34768 とは何ですか?
CVE-2026-34768 は、electron アプリケーションがログイン時に任意のコードを実行される可能性がある脆弱性です。Windows 環境において、特定の条件下で悪用される可能性があります。
この脆弱性の影響を受けますか?
electron アプリケーションを Windows のスペースを含むパスにインストールしている場合、かつ、攻撃者がそのディレクトリへの書き込み権限を持っている場合に影響を受ける可能性があります。
この脆弱性を修正するにはどうすればよいですか?
electron をバージョン 38.8.6 以降にアップデートしてください。これにより、問題が修正されます。