Platform
javascript
Component
electron
Opgelost in
39.8.6
40.0.1
41.0.1
42.0.1
CVE-2026-34765 is een beveiligingslek in Electron, een framework voor het ontwikkelen van cross-platform desktop applicaties. Dit lek stelt een renderer in staat om ongeautoriseerd toegang te krijgen tot een kindvenster dat door een andere renderer is geopend, mits beide dezelfde target naam gebruiken. De kwetsbaarheid treft versies van Electron tussen 39.0.0 en 42.0.0-alpha.4, maar is verholpen in versie 39.8.5.
CVE-2026-34765 heeft betrekking op Electron, een framework voor het bouwen van platformonafhankelijke desktopapplicaties. Voor versies 39.8.5, 40.8.5, 41.1.0 en 42.0.0-alpha.5 bestond er een kwetsbaarheid waarbij een renderer een bestaand kindvenster kon navigeren dat was geopend door een andere, niet-gerelateerde renderer, mits beide window.open() gebruikten met dezelfde targetnaam. Electron schreef de zoekopdracht naar het benoemde venster niet correct af op de browsingscontextgroep van de opener. Dit zou een aanvaller in staat kunnen stellen de inhoud van een kindvenster te manipuleren, gevoelige informatie in te zien of acties namens de gebruiker uit te voeren, waardoor de beveiliging van de applicatie wordt aangetast.
Deze kwetsbaarheid wordt uitgebuit door te profiteren van het gebrek aan isolatie tussen renderers in Electron. Een aanvaller zou een kwaadaardige pagina kunnen maken die window.open() gebruikt met een specifieke targetnaam. Als een andere Electron-applicatie ook dezelfde targetnaam gebruikt, kan de kwaadaardige pagina mogelijk het kindvenster van die applicatie manipuleren. Het succes van de exploitatie hangt af van de overeenkomst van targetnamen tussen verschillende Electron-applicaties en het vermogen van de aanvaller om de inhoud van de kwaadaardige pagina te controleren. De complexiteit van de exploitatie varieert afhankelijk van de configuratie en omgeving van de Electron-applicatie.
Applications built using Electron that utilize shared target names for window.open() calls are at risk. This includes desktop applications that integrate web content or rely on complex window management. Developers using Electron's setWindowOpenHandler with permissive webPreferences are particularly vulnerable, as they may inadvertently grant attackers greater control over hijacked windows.
• linux / server: Monitor Electron application logs for unusual window navigation events or errors related to target name resolution. Use ps and lsof to identify running Electron processes and their associated files.
lsof -p $(pgrep electron)• generic web: Inspect network traffic for unexpected requests originating from Electron applications, particularly those involving window navigation. Use browser developer tools to monitor window.open() calls and their target names.
• javascript: Review Electron application code for instances of window.open() with shared target names. Look for code that might be vulnerable to cross-renderer context manipulation.
disclosure
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar een versie van Electron die de correctie bevat. Betroffen versies zijn die vóór 39.8.5, 40.8.5, 41.1.0 en 42.0.0-alpha.5. Het wordt ten zeerste aanbevolen om te upgraden naar versie 39.8.5 of hoger. Controleer bovendien de code van uw applicatie om onveilig gebruik van window.open() met targetnamen te identificeren en te corrigeren. Het implementeren van een strikte validatie van targetnamen kan helpen om soortgelijke problemen in de toekomst te voorkomen. Controleer regelmatig de beveiligingsupdates van Electron om de beveiliging van uw applicatie te waarborgen.
Actualice a la versión 39.8.5, 40.8.5, 41.1.0 o 42.0.0-alpha.5 o superior. Revise el uso de `setWindowOpenHandler` para evitar la asignación de privilegios excesivos a las ventanas secundarias. Si es posible, evite el uso de `nodeIntegration: true` o `sandbox: false` en las ventanas secundarias.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Electron is een framework voor het bouwen van platformonafhankelijke desktopapplicaties met behulp van webtechnologieën zoals HTML, CSS en JavaScript.
Deze update pakt een beveiligingskwetsbaarheid aan die aanvallers in staat zou kunnen stellen Electron-applicaties te manipuleren.
Gebruik de pakketbeheerder van uw project (npm of yarn) om te upgraden naar versie 39.8.5 of hoger.
Controleer de code van uw applicatie om onveilig gebruik van window.open() met targetnamen te identificeren en te corrigeren.
Er zijn statische en dynamische analyse-tools beschikbaar die kunnen helpen bij het identificeren van kwetsbaarheden in Electron-applicaties. Raadpleeg de Electron-documentatie voor meer informatie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.