Platform
nodejs
Component
electron
Opgelost in
39.8.2
40.0.1
41.0.1
CVE-2026-34774 is een use-after-free kwetsbaarheid in electron. Apps die offscreen rendering gebruiken en child windows toestaan via window.open() kunnen kwetsbaar zijn. Als de parent offscreen WebContents wordt vernietigd terwijl een child window open blijft, kan dit leiden tot een crash of memory corruption. Deze kwetsbaarheid treft apps die offscreen rendering gebruiken (webPreferences.offscreen: true) en waarvan de setWindowOpenHandler child windows toestaat. De kwetsbaarheid is verholpen in versie 39.8.1.
CVE-2026-34774 heeft invloed op Electron-applicaties die offscreen rendering gebruiken en kindvensters openen via window.open(). Voor versies 39.8.1, 40.7.0 en 41.0.0 kan het voorkomen dat, wanneer het bovenliggende offscreen WebContents wordt vernietigd terwijl een kindvenster nog open is, daaropvolgende paint frames in het kind verwijzen naar vrijgegeven geheugen, wat kan leiden tot een crash of geheugencorruptie. Dit probleem is specifiek van toepassing op applicaties die offscreen rendering en de window.open() functionaliteit expliciet gebruiken. De CVSS-severity is 8.1, wat een risico met een hoge impact aangeeft. De aard van de geheugencorruptie kan ertoe leiden dat de applicatie onvoorspelbaar werkt of crasht.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller in staat is om de JavaScript-code te controleren die wordt uitgevoerd binnen de kwetsbare Electron-applicatie. Dit kan worden bereikt door middel van kwaadaardige code-injectie, of als de applicatie inhoud laadt van niet-vertrouwde bronnen. Zodra de aanvaller de controle over de code heeft, kan hij de vensterlevenscyclus manipuleren om het verwijzen naar vrijgegeven geheugen te triggeren. Vanwege de aard van offscreen rendering kan exploitatie complex zijn en afhankelijk zijn van de specifieke applicatiearchitectuur. Het ontbreken van KEV (Knowledge Enhanced Vulnerability) geeft aan dat er geen publieke gedetailleerde informatie is over de daadwerkelijke exploitatie van deze kwetsbaarheid.
Exploit Status
EPSS
0.06% (18% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-34774 is het upgraden naar Electron-versie 39.8.1 of hoger, 40.7.0 of hoger, of 41.0.0 of hoger. Deze versies bevatten fixes die voorkomen dat er naar vrijgegeven geheugen wordt verwezen. Ontwikkelaars worden ten zeerste aangeraden hun Electron-applicaties zo snel mogelijk te updaten om dit risico te beperken. Daarnaast wordt aanbevolen de code te bekijken om onnodig gebruik van offscreen rendering en kindvensters die met window.open() zijn geopend, te identificeren en te verwijderen om het aanvalsoppervlak te verkleinen. Grondige tests na de upgrade zijn cruciaal om de stabiliteit van de applicatie te waarborgen.
Actualice a la versión 39.8.1, 40.7.0 o 41.0.0 de Electron para mitigar la vulnerabilidad de uso tras la liberación. Asegúrese de que las aplicaciones no utilicen offscreen rendering (webPreferences.offscreen: true) o que el manejo de ventanas secundarias esté configurado correctamente para evitar la apertura de ventanas secundarias no deseadas.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Nee, het heeft alleen invloed op applicaties die offscreen rendering en de window.open() functie gebruiken.
Als u uw applicatie niet direct kunt updaten, overweeg dan tijdelijke maatregelen te nemen om het risico te beperken, zoals inputvalidatie en het beperken van geheugentoegang.
Controleer de versie van Electron die u gebruikt. Als deze vóór 39.8.1, 40.7.0 of 41.0.0 ligt, is uw applicatie kwetsbaar.
Het is een techniek waarmee webcontent op een oppervlak kan worden weergegeven dat gescheiden is van het hoofdvenster, wat in sommige gevallen de prestaties kan verbeteren.
Hoewel er geen specifieke geautomatiseerde tools zijn, kan een handmatige code-review op zoek naar offscreen en window.open() helpen bij het identificeren van het gebruik.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.