Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34770 is een use-after-free kwetsbaarheid in de powerMonitor module van Electron. Apps die gebruik maken van de powerMonitor module kunnen hierdoor crashen of geheugencorruptie veroorzaken. Alle apps die powerMonitor events gebruiken, zoals suspend, resume en lock-screen, zijn potentieel kwetsbaar. Deze kwetsbaarheid is opgelost in electron versie 38.8.6.
CVE-2026-34770 in Electron beïnvloedt versies vóór 38.8.6, 39.8.1, 40.8.0 en 41.0.0-beta.8, en presenteert een 'use-after-free'-kwetsbaarheid bij het gebruik van de powerMonitor-module. Dit komt doordat, nadat het native PowerMonitor-object door de garbage collector is verzameld, bijbehorende besturingssysteemresources (een berichtvenster op Windows, een shutdown-handler op macOS) hangende referenties behouden. Een daaropvolgend sessiewisselingsgebeurtenis (Windows) of een systeemuitschakeling (macOS) kan onvoorspelbaar gedrag veroorzaken, waardoor een aanvaller mogelijk willekeurige code kan uitvoeren of een denial-of-service kan veroorzaken. De ernst wordt beoordeeld als CVSS 7.0, wat een matig risico aangeeft.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller in staat is een sessiewisselingsgebeurtenis (op Windows) of een systeemuitschakeling (op macOS) te triggeren nadat het PowerMonitor-object door de garbage collector is verzameld. Dit kan worden bereikt door het besturingssysteem te manipuleren of door kwaadaardige code binnen de Electron-applicatie uit te voeren. De moeilijkheidsgraad van de exploitatie hangt af van het vermogen van de aanvaller om de systeemgebeurtenisstroom te controleren. Hoewel de exploitatie complex kan zijn, rechtvaardigt de potentiële impact (uitvoering van willekeurige code) het toepassen van de fix.
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar Electron-versie 38.8.6 of hoger, 39.8.1 of hoger, 40.8.0 of hoger, of 41.0.0-beta.8 of hoger. Deze versies bevatten fixes die de hangende referenties elimineren en het gebruik na de vrijgave voorkomen. Ontwikkelaars die Electron gebruiken, worden ten zeerste aangeraden hun applicaties zo snel mogelijk bij te werken om dit risico te beperken. Controleer bovendien uw code om ervoor te zorgen dat de powerMonitor-module veilig wordt gebruikt en dat er geen onnodige referenties worden gemaakt. Het toepassen van beveiligingspatches is een essentiële praktijk om de veiligheid van Electron-applicaties te waarborgen.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8. Esta actualización aborda el problema de uso posterior a la liberación al gestionar correctamente los recursos del sistema operativo después de que se recolecten mediante el recolector de basura.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een fout die optreedt wanneer een programma probeert toegang te krijgen tot geheugen dat al is vrijgegeven, wat kan leiden tot onvoorspelbaar gedrag of een beveiligingskwetsbaarheid.
Het is een Electron-module die het applicaties mogelijk maakt om systeem-energiegerelateerde gebeurtenissen te monitoren en erop te reageren, zoals batterijwijzigingen of systeemuitschakeling.
U kunt de Electron-versie controleren door electron --version in uw terminal uit te voeren.
Als u niet onmiddellijk kunt updaten, overweeg dan tijdelijke maatregelen te nemen om het risico te beperken, zoals het beperken van het gebruik van de powerMonitor-module of het implementeren van aanvullende controles om toegang tot vrijgegeven geheugen te voorkomen.
Ja, er zijn statische en dynamische analyse-tools die kunnen helpen bij het detecteren van 'use-after-free'-kwetsbaarheden in Electron-code.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.