Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34766 is een kwetsbaarheid in electron waarbij de select-usb-device event callback de gekozen device ID niet valideert tegen de gefilterde lijst. Een app kan hierdoor toegang krijgen tot een USB-apparaat dat niet overeenkomt met de gevraagde filters of in de uitsluitingslijst staat. De impact is beperkt tot apps met ongebruikelijke device-selectie logica. Deze kwetsbaarheid treft versies vóór 38.8.6. Een fix is beschikbaar in electron versie 38.8.6.
CVE-2026-34766 in Electron beïnvloedt de manier waarop USB-apparaten worden afgehandeld via WebUSB. Specifiek valideerde de callback-functie van het select-usb-device-evenement het geselecteerde apparaat-ID niet correct ten opzichte van de gefilterde lijst die aan de handler werd gepresenteerd. Dit stelde een kwaadwillige applicatie in staat, die de handler kan beïnvloeden, een apparaat-ID te selecteren die niet overeenkomt met de filters die door de renderer zijn aangevraagd, of die in de exclusionFilters-lijst staat. Hoewel de WebUSB-beveiligingszwarte lijst nog steeds van kracht was en gevoelige apparaten beschermde, stelde deze kwetsbaarheid toegang tot ongewenste apparaten mogelijk.
Een aanvaller kan deze kwetsbaarheid uitbuiten als hij de code kan beheersen die de USB-apparaatselectie binnen een Electron-applicatie afhandelt. Dit kan worden bereikt door middel van kwaadaardige code-injectie of manipulatie van de gebruikersinvoer. De aanvaller kan dan een niet-geautoriseerd USB-apparaat selecteren, waardoor de systeembeveiliging mogelijk wordt gecompromitteerd. De moeilijkheidsgraad van de exploitatie hangt af van de complexiteit van de Electron-applicatie en de geïmplementeerde beveiligingsmaatregelen.
Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.
• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.
Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
Get-Process -Id $_.Id | Select-Object DeviceHandles
}• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".
journalctl | grep "WebUSB" -idisclosure
Exploit Status
EPSS
0.02% (7% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is het updaten naar Electron versie 38.8.6 of hoger. Deze update implementeert een strengere validatie van het geselecteerde apparaat-ID, waardoor wordt geverifieerd dat deze overeenkomt met de gespecificeerde filters. Ontwikkelaars worden ten zeerste aangeraden hun Electron-applicaties zo snel mogelijk bij te werken om dit risico te beperken. Controleer bovendien uw code op mogelijke ingangspunten waar een aanvaller de apparaatselectie kan beïnvloeden.
Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
WebUSB is een web-API die webapplicaties de toegang tot USB-apparaten mogelijk maakt die zijn verbonden met de computer van de gebruiker.
Gebruikers kunnen worden beïnvloed als een kwaadwillige Electron-applicatie deze kwetsbaarheid uitbuit om niet-geautoriseerde USB-apparaten te benaderen.
Werk uw Electron-applicatie zo snel mogelijk bij naar versie 38.8.6 of hoger.
Ja, de WebUSB-beveiligingszwarte lijst blijft effectief en beschermt gevoelige apparaten.
Raadpleeg de Electron-beveiligingsadvies voor meer details: [Link naar het Electron-beveiligingsadvies]
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.