プラットフォーム
nodejs
コンポーネント
electron
修正版
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34777は、electronにおける権限管理の脆弱性です。この脆弱性により、iframeが権限をリクエストする際に、誤ったオリジンがsession.setPermissionRequestHandler()に渡される可能性があり、埋め込まれたサードパーティコンテンツに意図せず権限が付与される危険性があります。影響を受けるのはelectronの特定のバージョンです。この問題はバージョン38.8.6で修正されています。
ElectronのCVE-2026-34777は、iframe内での権限要求の処理方法に影響を与えます。具体的には、iframeがフルスクリーン、ポインタロック、キーボードロック、外部オープン、メディアアクセスなどの権限を要求する場合、Electronはこれらの要求をsession.setPermissionRequestHandler()を介して処理する際に、上位ページのオリジンではなく、要求元のiframeのオリジンを使用していました。このため、オリジンに基づいて権限の付与を判断するアプリケーションは、iframe内に埋め込まれたサードパーティコンテンツに意図せず権限を付与する可能性があり、特権昇格や機密リソースへの不正アクセスにつながる可能性があります。
攻撃者は、Electronアプリケーション内のiframeに悪意のあるコードを注入することで、この脆弱性を悪用する可能性があります。このコードは、カメラやマイクへのアクセスなど、機密性の高い権限を要求する可能性があります。オリジンの処理エラーにより、アプリケーションがこの悪意のあるコードにこれらの権限を付与する可能性があります。これにより、攻撃者はユーザーをスパイしたり、機密情報を盗んだり、ユーザーの名義で他の悪意のあるアクションを実行したりする可能性があります。悪用される可能性は、脆弱なElectronアプリケーションの普及度と、攻撃者がiframeに悪意のあるコードを注入する容易さに依存します。
エクスプロイト状況
EPSS
0.01% (3% パーセンタイル)
CISA SSVC
この脆弱性の解決策は、Electronをバージョン38.8.6以降にアップグレードすることです。このバージョンは、session.setPermissionRequestHandler()が要求元のiframeの正しいオリジンを受け取るように修正しています。開発者は、リスクを軽減するために、Electronアプリケーションをできるだけ早く更新することを強くお勧めします。さらに、サードパーティコンテンツを扱う際には、オリジンだけに依存せず、堅牢な基準に基づいて権限制御ロジックを見直し、強化することをお勧めします。依存関係を定期的に監視し、セキュリティパッチを適用することは、Electronアプリケーションのセキュリティを維持するための重要なプラクティスです。
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Verifique que su código no dependa de la origin del iframe para la autorización, sino que utilice `details.requestingUrl` para validar las solicitudes de permisos. Esto evitará que se otorguen permisos a contenido de terceros incrustado.
脆弱性分析と重要アラートをメールでお届けします。
Electronは、HTML、CSS、JavaScriptなどのWebテクノロジーを使用してクロスプラットフォームのデスクトップアプリケーションを構築するためのフレームワークです。
このアップデートは、Electronアプリケーション内で悪意のあるコンテンツが不正な権限を取得することを可能にするセキュリティ脆弱性を修正します。
すぐにアップデートできない場合は、権限制御コードを注意深く見直し、権限を付与するかどうかを判断する際にオリジンだけに依存しないようにしてください。
38.8.6より前のバージョンのElectronを使用している場合、アプリケーションは、この脆弱性に対して脆弱です。
この脆弱性に関する詳細については、ElectronのWebサイトとCVEなどの脆弱性データベースで確認できます。
CVSS ベクトル