Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34777 is een kwetsbaarheid in electron waarbij de origin van de top-level pagina in plaats van de iframe origin wordt doorgegeven bij permissie-aanvragen. Dit kan leiden tot het onbedoeld verlenen van permissies aan embedded third-party content. De kwetsbaarheid treft electron versies lager dan 38.8.6. Een update naar versie 38.8.6 of hoger verhelpt dit probleem.
De CVE-2026-34777-kwetsbaarheid in Electron heeft betrekking op de manier waarop machtigingsverzoeken binnen iframes worden afgehandeld. Specifiek, wanneer een iframe machtigingen aanvraagt zoals volledig scherm, pointer lock, toetsenbord lock, externe opening of media-toegang, gebruikte Electron de origin van de bovenliggende pagina in plaats van de origin van het aanvragende iframe toen deze verzoeken via session.setPermissionRequestHandler() verwerkten. Dit betekent dat een applicatie die afhankelijk is van de origin om te bepalen of een machtiging moet worden verleend, mogelijk onbedoeld machtigingen verleent aan ingesloten third-party content binnen het iframe, wat kan leiden tot privilege-escalatie of ongeautoriseerde toegang tot gevoelige resources.
Een aanvaller kan deze kwetsbaarheid uitbuiten door kwaadaardige code in een iframe binnen een Electron-applicatie te injecteren. Deze code kan gevoelige machtigingen aanvragen (zoals toegang tot de camera of microfoon), en vanwege de fout in de origin-afhandeling kan de applicatie deze machtigingen aan de kwaadaardige code verlenen. Dit kan de aanvaller in staat stellen de gebruiker te bespioneren, vertrouwelijke informatie te stelen of andere kwaadaardige acties namens de gebruiker uit te voeren. De waarschijnlijkheid van exploitatie hangt af van de prevalentie van kwetsbare Electron-applicaties en de mate waarin aanvallers gemakkelijk kwaadaardige code in iframes kunnen injecteren.
Exploit Status
EPSS
0.01% (3% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om te upgraden naar Electron-versie 38.8.6 of hoger. Deze versie corrigeert het probleem door ervoor te zorgen dat session.setPermissionRequestHandler() de juiste origin van het aanvragende iframe ontvangt. Ontwikkelaars worden ten zeerste aangeraden hun Electron-applicaties zo snel mogelijk bij te werken om het risico te verminderen. Daarnaast wordt aanbevolen om de machtigingscontrolelogica te beoordelen en te versterken om ervoor te zorgen dat deze is gebaseerd op robuuste criteria en niet alleen op de origin, vooral bij het verwerken van third-party content. Regelmatig het monitoren van afhankelijkheden en het toepassen van beveiligingspatches is een essentiële praktijk om de veiligheid van Electron-applicaties te waarborgen.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Verifique que su código no dependa de la origin del iframe para la autorización, sino que utilice `details.requestingUrl` para validar las solicitudes de permisos. Esto evitará que se otorguen permisos a contenido de terceros incrustado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Electron is een framework voor het bouwen van cross-platform desktopapplicaties met behulp van webtechnologieën zoals HTML, CSS en JavaScript.
Deze update corrigeert een beveiligingskwetsbaarheid die kwaadaardige content in staat zou kunnen stellen om ongeautoriseerde machtigingen binnen een Electron-applicatie te verkrijgen.
Als u niet onmiddellijk kunt updaten, beoordeel dan uw machtigingscontrolecode zorgvuldig en zorg ervoor dat deze niet uitsluitend afhankelijk is van de origin om te bepalen of een machtiging moet worden verleend.
Als u een versie van Electron gebruikt die vóór 38.8.6 is uitgebracht, is uw applicatie kwetsbaar voor deze kwetsbaarheid.
U kunt meer informatie over deze kwetsbaarheid vinden op de Electron-website en in kwetsbaarheidsdatabases zoals CVE.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.