Gratis scannen
MEDIUMCVE-2026-34776CVSS 5.3

Electron: Out-of-bounds leesactie in second-instance IPC op macOS en Linux

Platform

nodejs

Component

electron

Opgelost in

38.8.7

39.0.1

40.0.1

41.0.1

38.8.6

AI Confidence: highNVDEPSS 0.0%Beoordeeld: mei 2026
Bekijk op NVD
Opslaan

CVE-2026-34776 is een heap read kwetsbaarheid in Electron. Op macOS en Linux kan een app die app.requestSingleInstanceLock() aanroept, gevoelig zijn voor een out-of-bounds heap read bij het verwerken van een speciaal vervaardigd second-instance bericht. Gelekt geheugen kan worden geleverd aan de second-instance event handler van de app. Deze kwetsbaarheid treft alleen processen die als dezelfde gebruiker draaien als de Electron app. Apps die app.requestSingleInstanceLock() niet aanroepen, zijn niet getroffen. Windows is niet getroffen. De kwetsbaarheid is verholpen in versie 38.8.6, 40.8.1 en 41.0.0.

Impact en Aanvalsscenarios

CVE-2026-34776 heeft betrekking op Electron-applicaties die app.requestSingleInstanceLock() gebruiken op macOS en Linux. De kwetsbaarheid maakt een out-of-bounds heap read mogelijk bij het verwerken van een gemanipuleerd bericht van de tweede instantie. Dit kan ertoe leiden dat gelekte geheugen aan de second-instance-gebeurtenishandler van de applicatie wordt overgedragen. Het is belangrijk op te merken dat deze kwetsbaarheid alleen kan worden misbruikt in processen die worden uitgevoerd als dezelfde gebruiker als de Electron-applicatie. Applicaties die app.requestSingleInstanceLock() niet aanroepen, worden niet getroffen, en Windows is uitgesloten van dit probleem.

Uitbuitingscontext

Een aanvaller kan een kwaadaardig bericht van de tweede instantie maken en dit naar een kwetsbare Electron-applicatie sturen die app.requestSingleInstanceLock() gebruikt. Als de applicatie dit bericht zonder juiste validatie verwerkt, kan een out-of-bounds heap read optreden, waardoor de aanvaller mogelijk gevoelige informatie kan lezen of zelfs willekeurige code kan uitvoeren. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om het bericht van de tweede instantie te controleren en van het proces dat wordt uitgevoerd met dezelfde privileges als de Electron-applicatie.

Wie Loopt Risicowordt vertaald…

Developers and users of Electron applications that utilize app.requestSingleInstanceLock() on macOS and Linux are at risk. This includes applications built using frameworks like React, Angular, or Vue.js that leverage Electron for desktop deployment. Shared hosting environments where multiple Electron applications run under the same user account could amplify the potential impact.

Detectiestappenwordt vertaald…

• linux / server: Monitor Electron application logs for errors related to memory access or crashes. Use ps and lsof to identify running Electron processes and their associated files.

ps aux | grep electron
lsof -p $(pidof electron)

• windows / supply-chain: Use Process Monitor to observe Electron application processes and identify any unusual file access patterns or memory reads. Check Autoruns for any suspicious Electron-related entries.

Get-Process electron | Select-Object Id, ProcessName, Path

• generic web: While this vulnerability is not directly web-facing, monitor Electron-based desktop applications for unexpected behavior or crashes after receiving second-instance messages.

Aanvalstijdlijn

  1. Disclosure

    disclosure

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingLaag
Rapporten1 dreigingsrapport

EPSS

0.01% (3% percentiel)

CISA SSVC

Exploitatienone
Automatiseerbaarno
Technische Impactpartial

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:L5.3MEDIUMAttack VectorLocalHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityNoneRisico op ongeautoriseerde gegevenswijzigingAvailabilityLowRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Lokaal — aanvaller heeft een lokale sessie of shell op het systeem nodig.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Geen — geen integriteitsimpact.
Availability
Laag — gedeeltelijke of intermitterende denial of service.

Getroffen Software

Componentelectron
Leverancierosv
Getroffen bereikOpgelost in
< 38.8.6 – < 38.8.638.8.7
>= 39.0.0-alpha.1, < 39.8.1 – >= 39.0.0-alpha.1, < 39.8.139.0.1
>= 40.0.0-alpha.1, < 40.8.1 – >= 40.0.0-alpha.1, < 40.8.140.0.1
>= 41.0.0-alpha.1, < 41.0.0 – >= 41.0.0-alpha.1, < 41.0.041.0.1
38.8.6

Zwakheidsclassificatie (CWE)

CWE-125

Tijdlijn

  1. Gereserveerd
  2. Gepubliceerd
  3. Gewijzigd
  4. EPSS bijgewerkt

Mitigatie en Workarounds

De aanbevolen oplossing is om te upgraden naar Electron-versie 38.8.6 of hoger. Momenteel zijn er geen applicatiewerkarounds om dit probleem te verzachten. Ontwikkelaars die afhankelijk zijn van app.requestSingleInstanceLock() worden ten zeerste aangeraden hun applicaties zo snel mogelijk bij te werken om potentiële aanvallen te voorkomen. Regelmatig monitoren van Electron-updates en het toepassen van beveiligingspatches is een fundamentele praktijk om de veiligheid van applicaties te waarborgen.

Hoe te verhelpenwordt vertaald…

Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.1 o 41.0.0.  Esta actualización aborda una vulnerabilidad de lectura fuera de límites en el manejo de mensajes de segunda instancia, previniendo la posible fuga de memoria a aplicaciones que utilizan `app.requestSingleInstanceLock()`.

CVE Beveiligingsnieuwsbrief

Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.

Veelgestelde vragen

Wat is CVE-2026-34776 in electron?

Het is een Electron-functie die ervoor zorgt dat slechts één instantie van de applicatie tegelijkertijd wordt uitgevoerd. Als een tweede instantie wordt gestart, maakt deze verbinding met de eerste.

Ben ik getroffen door CVE-2026-34776 in electron?

Als uw Electron-applicatie app.requestSingleInstanceLock() gebruikt en wordt uitgevoerd op macOS of Linux, is deze waarschijnlijk kwetsbaar. Controleer uw Electron-versie.

Hoe los ik CVE-2026-34776 in electron op?

Afhankelijk van uw behoeften kunt u uw eigen logica implementeren om de uitvoering van meerdere instanties te regelen, maar dit vereist aanzienlijke ontwikkelingsinspanning.

Wordt CVE-2026-34776 actief misbruikt?

Hoewel er geen directe workarounds zijn, overweeg dan om extra beveiligingsmaatregelen te implementeren, zoals de strenge validatie van invoergegevens, om het risico op exploitatie te verminderen.

Waar vind ik het officiële electron-beveiligingsadvies voor CVE-2026-34776?

Nee, deze kwetsbaarheid heeft geen betrekking op Electron-applicaties die op Windows worden uitgevoerd.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken