プラットフォーム
nodejs
コンポーネント
electron
修正版
39.0.1
40.0.1
41.0.1
CVE-2026-34780は、Electronアプリケーションにおけるコンテキスト分離バイパス脆弱性です。この脆弱性は、WebCodecs APIからVideoFrameオブジェクトをコンテキストブリッジ経由で渡す際に発生します。攻撃者は、メインワールドでJavaScriptを実行することで、隔離されたワールドへのアクセスを確立し、Node.js APIを悪用する可能性があります。影響を受けるバージョンは、39.0.0-alpha.1~40.7.0未満、および41.0.0-alpha.1~41.0.0-beta.8未満です。バージョン39.8.0へのアップデートで修正されています。
この脆弱性を悪用されると、攻撃者はElectronアプリケーションの隔離された環境を突破し、メインプロセスで実行されているNode.js APIにアクセスできるようになります。これにより、機密情報の窃取、アプリケーションの改ざん、さらにはシステムへのアクセス権の取得といった深刻な被害が発生する可能性があります。特に、コンテキストブリッジを通じて機密情報(認証情報、APIキーなど)が隔離されたワールドに渡される場合、攻撃者はこれらの情報に直接アクセスできるようになるため、リスクは高まります。類似の脆弱性は、アプリケーションのセキュリティ境界を弱体化させ、攻撃者がシステム全体への侵入経路を確立する可能性を高めます。
CVE-2026-34780は、2026年4月4日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、Electronアプリケーションの普及度と脆弱性の深刻度を考慮すると、今後悪用される可能性は否定できません。CISA KEVカタログへの登録状況は不明です。NVD(National Vulnerability Database)の情報も参照し、最新の脅威動向を把握することが重要です。
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
この脆弱性への主な対策は、Electronをバージョン39.8.0以降にアップデートすることです。もしアップデートが困難な場合は、コンテキストブリッジ経由でVideoFrameオブジェクトを渡す処理を一時的に停止するか、厳密な入力検証とサニタイズを実施してください。また、WAF(Web Application Firewall)やプロキシサーバーを導入し、悪意のあるリクエストを検知・遮断することも有効です。Electronアプリケーションのセキュリティ設定を見直し、不要なNode.js APIへのアクセスを制限することも重要です。アップデート後、アプリケーションを再起動し、コンテキスト分離が正常に機能していることを確認してください。
39.8.0、40.7.0、または 41.0.0-beta.8 のような修正が含まれる Electron のバージョンにアップデートしてください。絶対に必要な場合を除き、preload スクリプトが contextBridge を介して VideoFrame オブジェクトを公開していないことを確認してください。コードを調べて、contextBridge 内での VideoFrame オブジェクトの不要な使用を特定して削除してください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-34780は、Electronアプリケーションにおけるコンテキスト分離バイパス脆弱性で、攻撃者が隔離された環境を突破し、Node.js APIにアクセスする可能性があります。
Electronのバージョンが39.0.0-alpha.1~40.7.0未満、または41.0.0-alpha.1~41.0.0-beta.8未満の場合は影響を受けます。
Electronをバージョン39.8.0以降にアップデートしてください。
現時点では公開されているPoCは確認されていませんが、今後悪用される可能性は否定できません。
Electronの公式アドバイザリは、Electronのリリースノートやセキュリティアナウンスメントで確認できます。
CVSS ベクトル