Electron: USB-apparaatselectie niet gevalideerd aan de hand van gefilterde apparatenlijst
Platform
nodejs
Component
electron
Opgelost in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34766 is een kwetsbaarheid in electron waarbij de select-usb-device event callback de gekozen device ID niet valideert tegen de gefilterde lijst. Een app kan hierdoor toegang krijgen tot een USB-apparaat dat niet overeenkomt met de gevraagde filters of in de uitsluitingslijst staat. De impact is beperkt tot apps met ongebruikelijke device-selectie logica. Deze kwetsbaarheid treft versies vóór 38.8.6. Een fix is beschikbaar in electron versie 38.8.6.
Impact en Aanvalsscenarios
CVE-2026-34766 in Electron beïnvloedt de manier waarop USB-apparaten worden afgehandeld via WebUSB. Specifiek valideerde de callback-functie van het select-usb-device-evenement het geselecteerde apparaat-ID niet correct ten opzichte van de gefilterde lijst die aan de handler werd gepresenteerd. Dit stelde een kwaadwillige applicatie in staat, die de handler kan beïnvloeden, een apparaat-ID te selecteren die niet overeenkomt met de filters die door de renderer zijn aangevraagd, of die in de exclusionFilters-lijst staat. Hoewel de WebUSB-beveiligingszwarte lijst nog steeds van kracht was en gevoelige apparaten beschermde, stelde deze kwetsbaarheid toegang tot ongewenste apparaten mogelijk.
Uitbuitingscontext
Een aanvaller kan deze kwetsbaarheid uitbuiten als hij de code kan beheersen die de USB-apparaatselectie binnen een Electron-applicatie afhandelt. Dit kan worden bereikt door middel van kwaadaardige code-injectie of manipulatie van de gebruikersinvoer. De aanvaller kan dan een niet-geautoriseerd USB-apparaat selecteren, waardoor de systeembeveiliging mogelijk wordt gecompromitteerd. De moeilijkheidsgraad van de exploitatie hangt af van de complexiteit van de Electron-applicatie en de geïmplementeerde beveiligingsmaatregelen.
Wie Loopt Risicowordt vertaald…
Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.
Detectiestappenwordt vertaald…
• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.
Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
Get-Process -Id $_.Id | Select-Object DeviceHandles
}• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".
journalctl | grep "WebUSB" -iAanvalstijdlijn
- Disclosure
disclosure
Dreigingsinformatie
Exploit Status
EPSS
0.02% (7% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Lokaal — aanvaller heeft een lokale sessie of shell op het systeem nodig.
- Attack Complexity
- Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
- Privileges Required
- Laag — elk geldig gebruikersaccount is voldoende.
- User Interaction
- Vereist — slachtoffer moet een bestand openen, op een link klikken of een pagina bezoeken.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Laag — gedeeltelijke toegang tot enkele gegevens.
- Integrity
- Laag — aanvaller kan enkele gegevens met beperkte omvang aanpassen.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De oplossing voor deze kwetsbaarheid is het updaten naar Electron versie 38.8.6 of hoger. Deze update implementeert een strengere validatie van het geselecteerde apparaat-ID, waardoor wordt geverifieerd dat deze overeenkomt met de gespecificeerde filters. Ontwikkelaars worden ten zeerste aangeraden hun Electron-applicaties zo snel mogelijk bij te werken om dit risico te beperken. Controleer bovendien uw code op mogelijke ingangspunten waar een aanvaller de apparaatselectie kan beïnvloeden.
Hoe te verhelpenwordt vertaald…
Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragen
Wat is CVE-2026-34766 in electron?
WebUSB is een web-API die webapplicaties de toegang tot USB-apparaten mogelijk maakt die zijn verbonden met de computer van de gebruiker.
Ben ik getroffen door CVE-2026-34766 in electron?
Gebruikers kunnen worden beïnvloed als een kwaadwillige Electron-applicatie deze kwetsbaarheid uitbuit om niet-geautoriseerde USB-apparaten te benaderen.
Hoe los ik CVE-2026-34766 in electron op?
Werk uw Electron-applicatie zo snel mogelijk bij naar versie 38.8.6 of hoger.
Wordt CVE-2026-34766 actief misbruikt?
Ja, de WebUSB-beveiligingszwarte lijst blijft effectief en beschermt gevoelige apparaten.
Waar vind ik het officiële electron-beveiligingsadvies voor CVE-2026-34766?
Raadpleeg de Electron-beveiligingsadvies voor meer details: [Link naar het Electron-beveiligingsadvies]
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.