Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34769 is een command line injection kwetsbaarheid in electron. Een niet-gedocumenteerde commandLineSwitches webPreference stond toe dat willekeurige switches werden toegevoegd aan de command line van het renderer proces. Apps die webPreferences construeren door niet-vertrouwde configuratieobjecten te verspreiden, kunnen onbedoeld een aanvaller in staat stellen om switches te injecteren die renderer sandboxing of web security controls uitschakelen. Deze kwetsbaarheid treft apps die webPreferences construeren op basis van externe of niet-vertrouwde input zonder een allowlist. De kwetsbaarheid is verholpen in versie 38.8.6.
CVE-2026-34769 in Electron stelt een aanvaller in staat om willekeurige switches in de opdrachtregel van het renderer-proces te injecteren. Dit komt door een niet-gedocumenteerde commandLineSwitches webPreference die het toevoegen van extra switches mogelijk maakt. De kwetsbaarheid wordt uitgebuit wanneer Electron-applicaties hun webPreferences construeren uit niet-vertrouwde configuratieobjecten. Een aanvaller kan dit misbruiken om de renderer sandbox of webbeveiligingscontroles uit te schakelen, wat kan leiden tot willekeurige code-uitvoering of ongeautoriseerde toegang tot gegevens. Aangetaste versies zijn die vóór 38.8.6, 39.8.0, 40.7.0 en 41.0.0-beta.8. De CVSS-severity is 7.8, wat een hoog risico aangeeft.
Een aanvaller kan deze kwetsbaarheid uitbuiten als hij de webPreferences-configuratie van een Electron-applicatie kan beïnvloeden. Dit kan gebeuren als de applicatie de configuratie laadt vanuit een extern bestand of als het gebruikers toestaat om webPreferences aan te passen via een gebruikersinterface. De aanvaller kan een kwaadaardige switch in de opdrachtregel van de renderer injecteren, waardoor hij de renderer sandbox kan uitschakelen en willekeurige code in de context van de Electron-applicatie kan uitvoeren. De complexiteit van de exploitatie hangt af van het vermogen van de aanvaller om de webPreferences-configuratie te controleren.
Applications built with Electron that dynamically construct webPreferences from external or untrusted sources are at significant risk. This includes applications that load configuration files from user-provided locations or integrate with third-party services without proper input validation. Shared hosting environments where multiple Electron applications share the same system resources are also particularly vulnerable.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*electron*'} | Select-Object -ExpandProperty CommandLine• linux / server:
ps aux | grep electron | grep -- '--command-line-switches='• generic web: Inspect Electron application startup arguments for suspicious or unexpected command-line switches using process monitoring tools.
disclosure
Exploit Status
EPSS
0.02% (6% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-34769 is het updaten naar een Electron-versie die de fix bevat, namelijk 38.8.6 of hoger. Als een onmiddellijke update niet mogelijk is, bekijk dan zorgvuldig de code die de webPreferences construeert en zorg ervoor dat er geen niet-vertrouwde databronnen worden gebruikt. Vermijd het gebruik van webPreferences-configuratieobjecten uit externe bronnen zonder grondige validatie. Het implementeren van een strenge validatie van alle gebruikersinvoer die wordt gebruikt om webPreferences te configureren, kan helpen om het injecteren van kwaadaardige switches te voorkomen. Het monitoren van applicatielogs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen.
Actualice a una versión de Electron 38.8.6 o superior, 39.8.0 o superior, 40.7.0 o superior, o 41.0.0-beta.8 o superior. Evite construir webPreferences a partir de fuentes externas o no confiables sin una lista blanca de opciones permitidas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Electron is een framework voor het maken van cross-platform desktopapplicaties met behulp van webtechnologieën zoals HTML, CSS en JavaScript.
Deze kwetsbaarheid kan een aanvaller in staat stellen de beveiliging van een Electron-applicatie te compromitteren, wat kan leiden tot gegevensverlies of de uitvoering van kwaadaardige code.
Als uw Electron-applicatie versies gebruikt vóór 38.8.6, 39.8.0, 40.7.0 of 41.0.0-beta.8, is deze kwetsbaar voor deze kwetsbaarheid.
Bekijk zorgvuldig de code die de webPreferences construeert en valideer alle gebruikersinvoer.
Raadpleeg de Electron-beveiligingsadvies en de release notes voor meer details.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.