CVE-2026-34768: Ongequote pad in Electron < 41.0.0-beta.8
Platform
nodejs
Component
electron
Opgelost in
38.8.6
CVE-2026-34768 is een kwetsbaarheid in Electron waarbij het uitvoerbare pad naar de Run registry key zonder aanhalingstekens wordt geschreven. Dit kan op Windows leiden tot het uitvoeren van een ander programma bij het inloggen als de app is geïnstalleerd in een pad met spaties. De impact is dat een aanvaller met schrijftoegang tot een voorouderlijke directory een ander uitvoerbaar bestand kan laten uitvoeren in plaats van de bedoelde app. De kwetsbaarheid treft Electron versies ≤>= 41.0.0-alpha.1, < 41.0.0-beta.8. De kwetsbaarheid is verholpen in versie 38.8.6.
Hoe te verhelpen
Geen officiële patch beschikbaar. Zoek naar tijdelijke oplossingen of monitor updates.
Veelgestelde vragen
Wat is CVE-2026-34768?
CVE-2026-34768 is een kwetsbaarheid in Electron waarbij een ongequote pad in de Run registry key kan leiden tot het uitvoeren van een ander programma bij het inloggen op Windows.
Ben ik getroffen door CVE-2026-34768?
U bent mogelijk getroffen als u een kwetsbare versie van Electron gebruikt (≤>= 41.0.0-alpha.1, < 41.0.0-beta.8) en uw applicatie is geïnstalleerd in een pad met spaties op Windows.
Hoe kan ik CVE-2026-34768 verhelpen?
U kunt CVE-2026-34768 verhelpen door te updaten naar Electron versie 38.8.6 of hoger.
Bewaak uw afhankelijkheden automatisch
Ontvang meldingen wanneer nieuwe kwetsbaarheden uw projecten beïnvloeden.
Gratis beginnen