Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34775 is a vulnerability in Electron, a framework for building cross-platform desktop applications. This issue allows workers to potentially gain Node.js integration even when the nodeIntegrationInWorker web preference is set to false, leading to potential code execution. The vulnerability impacts Electron versions 38.0.0 through 40.8.4, and 41.0.0-alpha.1. A fix is available in Electron 38.8.6.
CVE-2026-34775 heeft betrekking op Electron, een populair framework voor het bouwen van cross-platform desktop applicaties. De kwetsbaarheid ligt in de manier waarop de web-voorkeur nodeIntegrationInWorker wordt behandeld. Voor versies 38.8.6, 39.8.4, 40.8.4 en 41.0.0 werd deze voorkeur niet correct afgedwongen in alle configuraties. Dit betekende dat, in bepaalde scenario's van procesdeling, workers die in frames werden gestart die geconfigureerd waren met nodeIntegrationInWorker: false, nog steeds Node.js-integratie konden ontvangen. Deze integratie stelt workers in staat om JavaScript-code uit te voeren met toegang tot Node.js API's, wat gevaarlijk kan zijn als het niet goed wordt gecontroleerd. De kwetsbaarheid is alleen relevant voor applicaties die nodeIntegrationInWorker expliciet inschakelen. De ernst van de kwetsbaarheid is beoordeeld als 6.8 op de CVSS-schaal.
Exploitatie van deze kwetsbaarheid vereist dat een aanvaller in staat is om de inhoud van een frame binnen de Electron-applicatie te controleren en dat de applicatie nodeIntegrationInWorker heeft ingeschakeld. De aanvaller kan kwaadaardige code in het frame injecteren en, door gebruik te maken van de Node.js-integratie, willekeurige code in de context van de Electron-applicatie uitvoeren. Dit kan de aanvaller in staat stellen om toegang te krijgen tot gevoelige gegevens, het gedrag van de applicatie te wijzigen of zelfs de volledige controle over het systeem over te nemen. De waarschijnlijkheid van exploitatie hangt af van de configuratie van de applicatie en de blootstelling van de applicatie aan onbetrouwbare inhoud.
Applications built with Electron that utilize workers and have enabled nodeIntegrationInWorker are at risk. This includes desktop applications that handle sensitive data, interact with external APIs, or process user input. Shared hosting environments where multiple Electron applications share resources could also be vulnerable if one application is compromised.
• linux / server:
ps aux | grep -i electron | grep -i 'nodeIntegrationInWorker'• windows / supply-chain:
Get-Process -Name Electron | Select-Object -ExpandProperty Path | ForEach-Object { Get-ChildItem $_ -Recurse | Where-Object {$_.Name -match 'nodeIntegrationInWorker'}} • generic web:
Inspect Electron application's web preferences for nodeIntegrationInWorker configuration. Review application code for worker creation and usage patterns.
disclosure
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De oplossing om CVE-2026-34775 te mitigeren, is om te updaten naar een Electron-versie die de kwetsbaarheid patcht. Betroffen versies zijn alle versies vóór 38.8.6, 39.8.4, 40.8.4 en 41.0.0. Het wordt ten zeerste aanbevolen om te updaten naar de nieuwste beschikbare versie (momenteel 38.8.6 of hoger). Controleer bovendien de configuratie van nodeIntegrationInWorker in uw applicatie om ervoor te zorgen dat deze alleen wordt ingeschakeld wanneer dat absoluut noodzakelijk is. Als nodeIntegrationInWorker niet wordt gebruikt, kan het uitschakelen het aanvalsoppervlak van de applicatie verminderen. De update moet worden uitgevoerd volgens de upgrade-instructies van het Electron-team.
Actualice Electron a la versión 38.8.6, 39.8.4, 40.8.4 o 41.0.0 para mitigar la vulnerabilidad. Asegúrese de que la opción `nodeIntegrationInWorker` esté configurada correctamente para evitar la ejecución no intencionada de código Node.js en workers.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Electron is een framework voor het maken van cross-platform desktop applicaties met behulp van webtechnologieën zoals HTML, CSS en JavaScript.
Het is een Electron-voorkeur die controleert of workers (child processen) toegang hebben tot Node.js API's.
Als u Electron gebruikt en nodeIntegrationInWorker heeft ingeschakeld, is uw applicatie waarschijnlijk getroffen. Controleer de versie van Electron die u gebruikt en update indien nodig.
Als u niet onmiddellijk kunt updaten, overweeg dan om nodeIntegrationInWorker uit te schakelen als het niet essentieel is voor de functionaliteit van uw applicatie.
U kunt meer informatie over CVE-2026-34775 vinden op de website van de National Vulnerability Database (NVD) en op de Electron blog.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.