Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34776 is een heap read kwetsbaarheid in Electron. Op macOS en Linux kan een app die app.requestSingleInstanceLock() aanroept, gevoelig zijn voor een out-of-bounds heap read bij het verwerken van een speciaal vervaardigd second-instance bericht. Gelekt geheugen kan worden geleverd aan de second-instance event handler van de app. Deze kwetsbaarheid treft alleen processen die als dezelfde gebruiker draaien als de Electron app. Apps die app.requestSingleInstanceLock() niet aanroepen, zijn niet getroffen. Windows is niet getroffen. De kwetsbaarheid is verholpen in versie 38.8.6, 40.8.1 en 41.0.0.
CVE-2026-34776 heeft betrekking op Electron-applicaties die app.requestSingleInstanceLock() gebruiken op macOS en Linux. De kwetsbaarheid maakt een out-of-bounds heap read mogelijk bij het verwerken van een gemanipuleerd bericht van de tweede instantie. Dit kan ertoe leiden dat gelekte geheugen aan de second-instance-gebeurtenishandler van de applicatie wordt overgedragen. Het is belangrijk op te merken dat deze kwetsbaarheid alleen kan worden misbruikt in processen die worden uitgevoerd als dezelfde gebruiker als de Electron-applicatie. Applicaties die app.requestSingleInstanceLock() niet aanroepen, worden niet getroffen, en Windows is uitgesloten van dit probleem.
Een aanvaller kan een kwaadaardig bericht van de tweede instantie maken en dit naar een kwetsbare Electron-applicatie sturen die app.requestSingleInstanceLock() gebruikt. Als de applicatie dit bericht zonder juiste validatie verwerkt, kan een out-of-bounds heap read optreden, waardoor de aanvaller mogelijk gevoelige informatie kan lezen of zelfs willekeurige code kan uitvoeren. Het succes van de exploitatie hangt af van het vermogen van de aanvaller om het bericht van de tweede instantie te controleren en van het proces dat wordt uitgevoerd met dezelfde privileges als de Electron-applicatie.
Developers and users of Electron applications that utilize app.requestSingleInstanceLock() on macOS and Linux are at risk. This includes applications built using frameworks like React, Angular, or Vue.js that leverage Electron for desktop deployment. Shared hosting environments where multiple Electron applications run under the same user account could amplify the potential impact.
• linux / server: Monitor Electron application logs for errors related to memory access or crashes. Use ps and lsof to identify running Electron processes and their associated files.
ps aux | grep electron
lsof -p $(pidof electron)• windows / supply-chain: Use Process Monitor to observe Electron application processes and identify any unusual file access patterns or memory reads. Check Autoruns for any suspicious Electron-related entries.
Get-Process electron | Select-Object Id, ProcessName, Path• generic web: While this vulnerability is not directly web-facing, monitor Electron-based desktop applications for unexpected behavior or crashes after receiving second-instance messages.
disclosure
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen oplossing is om te upgraden naar Electron-versie 38.8.6 of hoger. Momenteel zijn er geen applicatiewerkarounds om dit probleem te verzachten. Ontwikkelaars die afhankelijk zijn van app.requestSingleInstanceLock() worden ten zeerste aangeraden hun applicaties zo snel mogelijk bij te werken om potentiële aanvallen te voorkomen. Regelmatig monitoren van Electron-updates en het toepassen van beveiligingspatches is een fundamentele praktijk om de veiligheid van applicaties te waarborgen.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.1 o 41.0.0. Esta actualización aborda una vulnerabilidad de lectura fuera de límites en el manejo de mensajes de segunda instancia, previniendo la posible fuga de memoria a aplicaciones que utilizan `app.requestSingleInstanceLock()`.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Het is een Electron-functie die ervoor zorgt dat slechts één instantie van de applicatie tegelijkertijd wordt uitgevoerd. Als een tweede instantie wordt gestart, maakt deze verbinding met de eerste.
Als uw Electron-applicatie app.requestSingleInstanceLock() gebruikt en wordt uitgevoerd op macOS of Linux, is deze waarschijnlijk kwetsbaar. Controleer uw Electron-versie.
Afhankelijk van uw behoeften kunt u uw eigen logica implementeren om de uitvoering van meerdere instanties te regelen, maar dit vereist aanzienlijke ontwikkelingsinspanning.
Hoewel er geen directe workarounds zijn, overweeg dan om extra beveiligingsmaatregelen te implementeren, zoals de strenge validatie van invoergegevens, om het risico op exploitatie te verminderen.
Nee, deze kwetsbaarheid heeft geen betrekking op Electron-applicaties die op Windows worden uitgevoerd.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.