Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34769 é uma vulnerabilidade de injeção de comando que afeta o electron. A falha permite que um atacante injete comandos arbitrários na linha de comando do processo de renderização, potencialmente desativando o sandboxing ou controles de segurança web. A vulnerabilidade afeta aplicativos que constroem webPreferences a partir de entrada não confiável. Foi corrigida na versão 38.8.6 do electron.
A vulnerabilidade CVE-2026-34769 no Electron permite que um atacante injete switches arbitrários na linha de comando do processo de renderização. Isso ocorre devido a uma webPreference commandLineSwitches não documentada que permite a adição de switches adicionais. A vulnerabilidade é explorada quando as aplicações Electron constroem suas webPreferences a partir de objetos de configuração não confiáveis. Um atacante pode aproveitar isso para desativar o sandbox do renderizador ou os controles de segurança web, o que pode levar à execução de código arbitrário ou acesso não autorizado a dados confidenciais. As versões afetadas são anteriores a 38.8.6, 39.8.0, 40.7.0 e 41.0.0-beta.8. A severidade CVSS é de 7.8, indicando um risco alto.
Um atacante pode explorar esta vulnerabilidade se puder influenciar a configuração das webPreferences de uma aplicação Electron. Isso pode ocorrer se a aplicação carregar a configuração de um arquivo externo ou se permitir que os usuários personalizem as webPreferences através de uma interface de usuário. O atacante pode injetar um switch malicioso na linha de comando do renderizador, permitindo que ele desative o sandbox do renderizador e execute código arbitrário no contexto da aplicação Electron. A complexidade da exploração depende da capacidade do atacante de controlar a configuração das webPreferences.
Applications built with Electron that dynamically construct webPreferences from external or untrusted sources are at significant risk. This includes applications that load configuration files from user-provided locations or integrate with third-party services without proper input validation. Shared hosting environments where multiple Electron applications share the same system resources are also particularly vulnerable.
• windows / supply-chain:
Get-Process | Where-Object {$_.ProcessName -like '*electron*'} | Select-Object -ExpandProperty CommandLine• linux / server:
ps aux | grep electron | grep -- '--command-line-switches='• generic web: Inspect Electron application startup arguments for suspicious or unexpected command-line switches using process monitoring tools.
disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação principal para CVE-2026-34769 é atualizar para uma versão do Electron que inclua a correção, especificamente 38.8.6 ou posterior. Se não for possível atualizar imediatamente, recomenda-se revisar cuidadosamente o código que constrói as webPreferences e garantir que fontes de dados não confiáveis não estejam sendo usadas. Evite o uso de objetos de configuração de webPreferences que provenham de fontes externas sem uma validação exaustiva. Implementar uma validação estrita de qualquer entrada de usuário que seja usada para configurar as webPreferences pode ajudar a prevenir a injeção de switches maliciosos. Monitorar os logs da aplicação em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques.
Actualice a una versión de Electron 38.8.6 o superior, 39.8.0 o superior, 40.7.0 o superior, o 41.0.0-beta.8 o superior. Evite construir webPreferences a partir de fuentes externas o no confiables sin una lista blanca de opciones permitidas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Electron é um framework para criar aplicações de desktop multiplataforma usando tecnologias web como HTML, CSS e JavaScript.
Esta vulnerabilidade pode permitir que um atacante comprometa a segurança de uma aplicação Electron, o que pode resultar na perda de dados ou na execução de código malicioso.
Se sua aplicação Electron usa versões anteriores a 38.8.6, 39.8.0, 40.7.0 ou 41.0.0-beta.8, ela é vulnerável a esta vulnerabilidade.
Revise cuidadosamente o código que constrói as webPreferences e valide qualquer entrada de usuário.
Consulte o aviso de segurança do Electron e as notas da versão para obter mais detalhes.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.