プラットフォーム
nodejs
コンポーネント
electron
修正版
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34775は、electronのnodeIntegrationInWorker webPreferenceが、特定の設定で正しくスコープされない脆弱性です。この脆弱性により、nodeIntegrationInWorker: falseで設定されたフレーム内で生成されたワーカーが、Node.js統合を受け取る可能性があります。この問題は、nodeIntegrationInWorkerを有効にしているアプリケーションにのみ影響します。バージョン41.0.0, 40.8.4, 39.8.4, 38.8.6で修正されました。
CVE-2026-34775 は Electron に影響を与えます。Electron は、JavaScript、HTML、CSS を使用してクロスプラットフォームのデスクトップアプリケーションを記述するためのフレームワークです。38.8.6、39.8.4、40.8.4、および 41.0.0 以前のバージョンでは、webPreference である nodeIntegrationInWorker がすべての構成で正しくスコープされていませんでした。その結果、特定のプロセス共有シナリオにおいて、nodeIntegrationInWorker: false で構成されたフレームで起動されたワーカーが、依然として Node.js 統合を受け取ることができました。この統合により、ワーカーは Node.js API へのアクセス権を持つ JavaScript コードを実行できるようになり、適切に制御されない場合、危険となる可能性があります。この脆弱性は、nodeIntegrationInWorker を有効にするアプリケーションにのみ関連します。脆弱性の重大度は CVSS スケールで 6.8 と評価されています。
この脆弱性の悪用には、攻撃者が Electron アプリケーション内のフレームの内容を制御できることと、アプリケーションが nodeIntegrationInWorker を有効にしていることが必要です。攻撃者はフレームに悪意のあるコードを注入し、Node.js 統合を利用して、Electron アプリケーションのコンテキストで任意のコードを実行できる可能性があります。これにより、攻撃者は機密データにアクセスしたり、アプリケーションの動作を変更したり、システム全体を制御したりする可能性があります。悪用の可能性は、アプリケーションの構成とアプリケーションの信頼できないコンテンツへの露出によって異なります。
Applications built with Electron that utilize workers and have enabled nodeIntegrationInWorker are at risk. This includes desktop applications that handle sensitive data, interact with external APIs, or process user input. Shared hosting environments where multiple Electron applications share resources could also be vulnerable if one application is compromised.
• linux / server:
ps aux | grep -i electron | grep -i 'nodeIntegrationInWorker'• windows / supply-chain:
Get-Process -Name Electron | Select-Object -ExpandProperty Path | ForEach-Object { Get-ChildItem $_ -Recurse | Where-Object {$_.Name -match 'nodeIntegrationInWorker'}} • generic web:
Inspect Electron application's web preferences for nodeIntegrationInWorker configuration. Review application code for worker creation and usage patterns.
disclosure
エクスプロイト状況
EPSS
0.03% (10% パーセンタイル)
CISA SSVC
CVE-2026-34775 を軽減するための解決策は、脆弱性を修正する Electron のバージョンに更新することです。影響を受けるバージョンは、38.8.6、39.8.4、40.8.4、および 41.0.0 以前のすべてのバージョンです。最新の利用可能なバージョン (現在 38.8.6 以降) に更新することを強くお勧めします。さらに、アプリケーション内の nodeIntegrationInWorker の構成を確認し、絶対に必要な場合にのみ有効になっていることを確認してください。nodeIntegrationInWorker を使用しない場合は、無効にすることでアプリケーションの攻撃対象領域を減らすことができます。更新は、Electron チームが提供するアップグレード手順に従って実行する必要があります。
Actualice Electron a la versión 38.8.6, 39.8.4, 40.8.4 o 41.0.0 para mitigar la vulnerabilidad. Asegúrese de que la opción `nodeIntegrationInWorker` esté configurada correctamente para evitar la ejecución no intencionada de código Node.js en workers.
脆弱性分析と重要アラートをメールでお届けします。
Electron は、HTML、CSS、JavaScript などの Web 技術を使用してクロスプラットフォームのデスクトップアプリケーションを作成するためのフレームワークです。
これは、ワーカー (子プロセス) が Node.js API にアクセスできるかどうかを制御する Electron の設定です。
Electron を使用しており、nodeIntegrationInWorker を有効にしている場合は、アプリケーションが影響を受けている可能性があります。使用している Electron のバージョンを確認し、必要に応じて更新してください。
すぐに更新できない場合は、アプリケーションの機能に不可欠でない限り、nodeIntegrationInWorker を無効にすることを検討してください。
CVE-2026-34775 に関する詳細情報は、National Vulnerability Database (NVD) の Web サイトと Electron のブログで入手できます。
CVSS ベクトル