Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34772 is een use-after-free kwetsbaarheid in de electron library. Apps die downloads toestaan en sessies programmatisch vernietigen, zijn mogelijk kwetsbaar. Het sluiten van een dialoogvenster dereferentieert vrijgemaakt geheugen, wat kan leiden tot een crash of geheugenbeschadiging. De kwetsbaarheid treft electron versies lager dan 38.8.6. Een fix is beschikbaar vanaf versie 38.8.6.
CVE-2026-34772 treft Electron-applicaties die downloads toestaan en gebruikerssessies programmatisch vernietigen. De kwetsbaarheid ligt in een mogelijk gebruik van vrijgegeven geheugen (use-after-free). Als een sessie wordt beëindigd terwijl een native dialoogvenster voor het opslaan van een bestand voor een download open staat, kan het sluiten van het dialoogvenster ertoe leiden dat er toegang wordt verkregen tot geheugen dat al is vrijgegeven, wat kan leiden tot een applicatiecrasher of geheugencorruptie. Deze kwetsbaarheid is vooral relevant voor applicaties die bestandsdownloads beheren en dynamische sessiebeëindigingsmechanismen implementeren. De CVSS-severity score is 5.8, wat een matig risico aangeeft.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller een download initieert terwijl de Electron-applicatie wordt uitgevoerd en tegelijkertijd de gebruikerssessie beëindigt voordat het dialoogvenster voor het opslaan is voltooid. Dit kan worden bereikt door middel van een zorgvuldig georkestreerde reeks gebeurtenissen, zoals een gebruikersactie die de sessiebeëindiging triggert terwijl de download bezig is. De moeilijkheidsgraad van de exploitatie hangt af van de architectuur van de applicatie en de manier waarop sessies en downloads worden beheerd. Een succesvolle exploitatie kan leiden tot de uitvoering van willekeurige code of tot een denial-of-service.
Applications built with Electron that allow downloads and programmatically destroy user sessions are at risk. This includes desktop applications, progressive web apps (PWAs), and any Electron-based software that handles file downloads and user authentication. Specifically, applications with poorly implemented session management or download handling are particularly vulnerable.
• windows / supply-chain: Monitor Electron processes (Get-Process electron) for unusual memory usage patterns. Check scheduled tasks for suspicious scripts that might be manipulating Electron sessions.
Get-Process electron | Select-Object Name, CPU, WorkingSet• linux / server: Use journalctl to filter for Electron application crashes or errors related to memory access.
journalctl -u electron -g 'memory access' --since '1 hour'• generic web: Examine web application logs for errors related to Electron components or download processes. Check for unusual network requests associated with Electron applications.
disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
CVSS-vector
De belangrijkste mitigatie voor CVE-2026-34772 is het vermijden van het vernietigen van gebruikerssessies terwijl een dialoogvenster voor het opslaan van een download actief is. Als een download bezig is, wordt aanbevolen om de download te annuleren voordat de sessie wordt beëindigd. Upgraden naar Electron-versie 38.8.6 is de definitieve oplossing, aangezien deze versie de correctie voor deze kwetsbaarheid bevat. Bovendien is het belangrijk om de applicatiecode te bekijken om eventuele gevallen van vroegtijdige sessiebeëindiging tijdens downloads te identificeren en te corrigeren. Grondige tests kunnen helpen om dit type probleem te detecteren en te voorkomen.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de probar exhaustivamente su aplicación después de la actualización para garantizar la compatibilidad. Si no es posible actualizar inmediatamente, considere implementar medidas de mitigación para evitar la destrucción de sesiones mientras se abren diálogos de guardado de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Electron is een framework voor het bouwen van cross-platform desktopapplicaties met behulp van webtechnologieën zoals HTML, CSS en JavaScript.
De kwetsbaarheid kan ertoe leiden dat de applicatie crasht of zich onverwacht gedraagt. In ernstigere gevallen kan het een aanvaller toestaan om kwaadaardige code op het systeem van de gebruiker uit te voeren.
Het wordt ten zeerste aanbevolen om te upgraden naar versie 38.8.6 of een latere versie die de correctie voor deze kwetsbaarheid bevat.
Als tijdelijke oplossing kunt u het vernietigen van sessies vermijden terwijl een download bezig is of uitstaande downloads annuleren voordat u de sessie beëindigt.
U kunt meer informatie over CVE-2026-34772 vinden in kwetsbaarheidsdatabases zoals de National Vulnerability Database (NVD) en in de documentatie van Electron.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.