Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34768 is een kwetsbaarheid in Electron waarbij het uitvoerbare pad naar de Run registry key zonder aanhalingstekens wordt geschreven. Dit kan op Windows leiden tot het uitvoeren van een ander programma bij het inloggen als de app is geïnstalleerd in een pad met spaties. De impact is dat een aanvaller met schrijftoegang tot een voorouderlijke directory een ander uitvoerbaar bestand kan laten uitvoeren in plaats van de bedoelde app. De kwetsbaarheid treft Electron versies ≤>= 41.0.0-alpha.1, < 41.0.0-beta.8. De kwetsbaarheid is verholpen in versie 38.8.6.
CVE-2026-34768 heeft betrekking op Electron op Windows. De functie app.setLoginItemSettings({openAtLogin: true}) schreef het pad naar de uitvoerbare bestandsnaam naar de register sleutel Run zonder aanhalingstekens te gebruiken. Dit betekent dat een aanvaller met schrijftoegang tot een bovenliggende map, als de app is geïnstalleerd in een pad met spaties, mogelijk een ander uitvoerbaar bestand bij het inloggen kan laten uitvoeren in plaats van de beoogde app. De kwetsbaarheid ligt in de onjuiste verwerking van paden met spaties binnen de Windows-register, waardoor de vervanging van het legitieme uitvoerbare bestand mogelijk is. Hoewel standaard systeemmappen doorgaans beschermd zijn tegen schrijftoegang door standaardgebruikers, vereist exploitatie doorgaans een niet-standaard installatie of verhoogde privileges.
Exploitatie van deze kwetsbaarheid vereist dat de aanvaller de mogelijkheid heeft om naar een bovenliggende map van het installatiepad van de Electron-applicatie te schrijven. In standaard Windows-omgevingen is dit onwaarschijnlijk vanwege beveiligingsbeschermingen. Als de applicatie echter op een niet-standaard locatie is geïnstalleerd of als de aanvaller administratorrechten op het systeem heeft verkregen, wordt de exploitatie haalbaarder. De aanvaller kan een kwaadaardig uitvoerbaar bestand maken met dezelfde naam als de Electron-applicatie en dit in een toegankelijke map plaatsen, en vervolgens de register sleutel Run wijzigen om naar dit kwaadaardige uitvoerbare bestand te verwijzen. Bij het inloggen zou in plaats van de legitieme Electron-applicatie de kwaadaardige code worden uitgevoerd.
Exploit Status
EPSS
0.01% (2% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-34768 is het updaten van Electron naar versie 38.8.6 of hoger. Deze versie corrigeert de kwetsbaarheid door ervoor te zorgen dat de paden naar uitvoerbare bestanden correct worden geschreven naar de register sleutel Run, inclusief het gebruik van aanhalingstekens om paden met spaties te verwerken. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om het risico van ongeautoriseerde code-uitvoering tijdens het inloggen te verminderen. Controleer bovendien de schrijfrechten op de installatiemap van de Electron-applicatie om ervoor te zorgen dat alleen geautoriseerde gebruikers de automatische startinstellingen kunnen wijzigen. De update is de meest effectieve preventieve maatregel.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comillas en la ruta del ejecutable al registrar el elemento de inicio de sesión en Windows, previniendo la ejecución de ejecutables maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Electron is een framework voor het bouwen van cross-platform desktopapplicaties met behulp van webtechnologieën zoals HTML, CSS en JavaScript.
Deze update repareert een beveiligingslek dat een aanvaller in staat zou kunnen stellen kwaadaardige code bij het inloggen uit te voeren.
Als u niet onmiddellijk kunt updaten, beperk dan de schrijfrechten op de installatiemap van de Electron-applicatie.
Deze kwetsbaarheid heeft betrekking op Electron-applicaties die de functie app.setLoginItemSettings({openAtLogin: true}) gebruiken en geïnstalleerd zijn in paden met spaties op Windows.
U kunt meer informatie over deze kwetsbaarheid vinden in de beveiligingsadvies van Electron en in kwetsbaarheidsdatabases zoals CVE.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.