プラットフォーム
nodejs
コンポーネント
electron
修正版
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34769は、electronのwebPreferencesに存在する、ドキュメント化されていないcommandLineSwitchesに関する脆弱性です。信頼できない設定オブジェクトからwebPreferencesを構築するアプリケーションは、攻撃者がレンダラーのサンドボックスやWebセキュリティコントロールを無効にするスイッチを注入する可能性があります。影響を受けるのは、信頼できない入力からwebPreferencesを構築するアプリケーションのみです。この問題はバージョン38.8.6で修正されています。
ElectronのCVE-2026-34769は、攻撃者がレンダラープロセスのコマンドラインに任意のスイッチを挿入することを可能にします。これは、未文書化のcommandLineSwitches webPreferenceが、追加のスイッチを付加することを許可していることが原因です。この脆弱性は、Electronアプリケーションが信頼できない構成オブジェクトからwebPreferencesを構築する場合に悪用されます。攻撃者はこれを利用して、レンダラーサンドボックスまたはWebセキュリティコントロールを無効にし、その結果、任意のコードの実行または不正アクセスにつながる可能性があります。影響を受けるバージョンは、38.8.6、39.8.0、40.7.0、および41.0.0-beta.8より前のものです。CVSSの深刻度は7.8で、高いリスクを示しています。
攻撃者がElectronアプリケーションのwebPreferences構成に影響を与えることができる場合、この脆弱性を悪用できます。これは、アプリケーションが外部ファイルから構成をロードするか、ユーザーがユーザーインターフェイスを通じてwebPreferencesをカスタマイズできる場合に発生する可能性があります。攻撃者はレンダラーコマンドラインに悪意のあるスイッチを挿入し、レンダラーサンドボックスを無効にして、Electronアプリケーションのコンテキストで任意のコードを実行できるようになります。悪用の複雑さは、攻撃者がwebPreferences構成を制御できる能力に依存します。
Applications built with Electron that dynamically construct webPreferences from external or untrusted sources are at significant risk. This includes applications that load configuration files from user-provided locations or integrate with third-party services without proper input validation. Shared hosting environments where multiple Electron applications share the same system resources are also particularly vulnerable.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*electron*'} | Select-Object -ExpandProperty CommandLine• linux / server:
ps aux | grep electron | grep -- '--command-line-switches='• generic web: Inspect Electron application startup arguments for suspicious or unexpected command-line switches using process monitoring tools.
disclosure
エクスプロイト状況
EPSS
0.02% (6% パーセンタイル)
CISA SSVC
CVE-2026-34769の主な軽減策は、修正を含むElectronバージョンに更新することです。具体的には、38.8.6以降です。直ちに更新できない場合は、webPreferencesを構築するコードを注意深く確認し、信頼できないデータソースが使用されていないことを確認してください。外部ソースからのwebPreferences構成オブジェクトの使用を避け、徹底的な検証を行ってください。webPreferencesを設定するために使用されるすべてのユーザー入力の厳格な検証を実装することで、悪意のあるスイッチの挿入を防ぐことができます。アプリケーションログを監視して、疑わしいアクティビティを検出および対応することも役立ちます。
Actualice a una versión de Electron 38.8.6 o superior, 39.8.0 o superior, 40.7.0 o superior, o 41.0.0-beta.8 o superior. Evite construir webPreferences a partir de fuentes externas o no confiables sin una lista blanca de opciones permitidas.
脆弱性分析と重要アラートをメールでお届けします。
Electronは、HTML、CSS、JavaScriptなどのWebテクノロジーを使用してクロスプラットフォームのデスクトップアプリケーションを作成するためのフレームワークです。
この脆弱性は、攻撃者がElectronアプリケーションのセキュリティを侵害することを可能にし、データ損失や悪意のあるコードの実行につながる可能性があります。
Electronアプリケーションが38.8.6、39.8.0、40.7.0、または41.0.0-beta.8より前のバージョンを使用している場合、この脆弱性に対して脆弱です。
webPreferencesを構築するコードを注意深く確認し、すべてのユーザー入力を検証してください。
詳細については、Electronのセキュリティアドバイザリとリリースノートを参照してください。
CVSS ベクトル