Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
A vulnerabilidade CVE-2026-34766 reside em uma falha de validação no Electron, onde o callback do evento select-usb-device não validava o ID do dispositivo escolhido em relação à lista filtrada. Isso poderia permitir que um aplicativo concedesse acesso a um dispositivo fora dos filtros solicitados. A vulnerabilidade afeta versões anteriores à 38.8.6 do Electron. A correção foi implementada na versão 38.8.6.
A vulnerabilidade CVE-2026-34766 no Electron afeta a forma como os dispositivos USB são tratados através do WebUSB. Especificamente, a função de callback do evento select-usb-device não validava corretamente o ID do dispositivo selecionado em comparação com a lista filtrada apresentada ao manipulador. Isso permitiu que uma aplicação maliciosa, capaz de influenciar o manipulador, selecionasse um ID de dispositivo que não correspondia aos filters solicitados pelo renderizador ou que estivesse na lista exclusionFilters. Embora a lista negra de segurança do WebUSB continuasse a ser aplicada, protegendo os dispositivos sensíveis, esta vulnerabilidade permitiu o acesso a dispositivos indesejados.
Um atacante poderia explorar esta vulnerabilidade se puder controlar o código que trata a seleção do dispositivo USB dentro de uma aplicação Electron. Isso poderia ser alcançado através da injeção de código malicioso ou da manipulação da entrada do usuário. O atacante poderia então selecionar um dispositivo USB não autorizado, comprometendo potencialmente a segurança do sistema. A dificuldade da exploração depende da complexidade da aplicação Electron e das medidas de segurança implementadas.
Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.
• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.
Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
Get-Process -Id $_.Id | Select-Object DeviceHandles
}• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".
journalctl | grep "WebUSB" -idisclosure
Status do Exploit
EPSS
0.02% (percentil 7%)
CISA SSVC
Vetor CVSS
A correção para esta vulnerabilidade é atualizar para a versão 38.8.6 ou superior do Electron. Esta atualização implementa uma validação mais rigorosa do ID do dispositivo selecionado, garantindo que corresponda aos filtros especificados. Os desenvolvedores são fortemente encorajados a atualizar suas aplicações Electron o mais rápido possível para mitigar este risco. Além disso, revise seu código em busca de possíveis pontos de entrada onde um atacante possa influenciar a seleção do dispositivo.
Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
WebUSB é uma API web que permite que aplicações web acessem dispositivos USB conectados ao computador do usuário.
Os usuários podem ser afetados se uma aplicação Electron maliciosa explorar esta vulnerabilidade para acessar dispositivos USB não autorizados.
Atualize sua aplicação Electron para a versão 38.8.6 ou superior o mais rápido possível.
Sim, a lista negra de segurança do WebUSB continua eficaz e protege dispositivos sensíveis.
Consulte o aviso de segurança do Electron para obter mais detalhes: [Link para o Aviso de Segurança do Electron]
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.