CVE-2026-34771: Use-After-Free no electron (versão 38.8.6)
Plataforma
nodejs
Componente
electron
Corrigido em
38.8.6
A CVE-2026-34771 descreve uma vulnerabilidade do tipo Use-After-Free no componente electron. Essa falha pode ocorrer em aplicativos que registram um `session.setPermissionRequestHandler()` assíncrono, tornando-os vulneráveis durante o tratamento de solicitações de permissão de tela cheia, bloqueio de ponteiro ou bloqueio de teclado. Se o frame solicitante navegar ou a janela fechar enquanto o manipulador de permissão estiver pendente, a invocação do callback armazenado desreferencia a memória liberada, podendo levar a um crash ou corrupção de memória. A vulnerabilidade foi corrigida na versão 38.8.6 do electron.
Como corrigir
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Perguntas frequentes
O que é a vulnerabilidade CVE-2026-34771?
A CVE-2026-34771 é uma vulnerabilidade do tipo Use-After-Free no electron que pode levar a crashes ou corrupção de memória em aplicativos que usam `session.setPermissionRequestHandler()` assíncrono.
Como saber se sou afetado pela CVE-2026-34771?
Você é afetado se seu aplicativo electron registra um `session.setPermissionRequestHandler()` assíncrono e lida com solicitações de permissão de tela cheia, bloqueio de ponteiro ou bloqueio de teclado. Aplicativos que respondem de forma síncrona não são afetados.
Como corrigir a vulnerabilidade CVE-2026-34771?
A vulnerabilidade foi corrigida na versão 38.8.6 do electron. Atualize para esta versão ou mais recente para mitigar o risco. Como alternativa, responda às solicitações de permissão de forma síncrona.
Monitore suas dependências automaticamente
Receba alertas quando novas vulnerabilidades afetarem seus projetos.
Começar grátis