CVE-2026-34780: Context Isolation Bypass in electron 39.8.0
Platform
nodejs
Component
electron
Opgelost in
39.8.0
CVE-2026-34780 is een context isolation bypass kwetsbaarheid in electron. Apps die `VideoFrame` objecten (van de WebCodecs API) via de `contextBridge` doorgeven, zijn kwetsbaar. Een aanvaller kan JavaScript uitvoeren in de main world (bijvoorbeeld via XSS) en een bridged `VideoFrame` gebruiken om toegang te krijgen tot de isolated world, inclusief Node.js API's die aan het preload script zijn blootgesteld. Deze kwetsbaarheid treft apps die een `VideoFrame` object retourneren, oplossen of doorgeven aan de main world via `contextBridge.exposeInMainWorld()`. De kwetsbaarheid is verholpen in versie 39.8.0.
Hoe te verhelpen
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Veelgestelde vragen
Wat is CVE-2026-34780?
CVE-2026-34780 is een kwetsbaarheid in electron die een context isolation bypass mogelijk maakt via `VideoFrame` objecten.
Ben ik getroffen door CVE-2026-34780?
Je bent getroffen als je app `VideoFrame` objecten via de `contextBridge` doorgeeft aan de main world.
Hoe kan ik CVE-2026-34780 verhelpen?
Update naar electron versie 39.8.0 of hoger.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen