Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34770 descreve uma vulnerabilidade do tipo use-after-free no módulo powerMonitor do Electron. Após o objeto nativo PowerMonitor ser coletado como lixo, os recursos associados do sistema operacional retêm referências pendentes, levando a falhas ou corrupção de memória. Todas as aplicações que acessam eventos powerMonitor são potencialmente afetadas. A vulnerabilidade foi corrigida na versão 38.8.6 do Electron.
A vulnerabilidade CVE-2026-34770 no Electron afeta versões anteriores a 38.8.6, 39.8.1, 40.8.0 e 41.0.0-beta.8, apresentando um risco de 'uso após liberação' (use-after-free) ao utilizar o módulo powerMonitor. Isso ocorre porque, após o objeto nativo PowerMonitor ser coletado pelo coletor de lixo, os recursos associados de nível do sistema operacional (uma janela de mensagem no Windows, um manipulador de desligamento no macOS) retêm referências pendentes. Um evento de mudança de sessão subsequente (Windows) ou desligamento do sistema (macOS) pode desencadear um comportamento imprevisível, permitindo potencialmente que um atacante execute código arbitrário ou cause uma negação de serviço. A severidade é classificada como CVSS 7.0, indicando um risco moderado.
A exploração desta vulnerabilidade requer que um atacante seja capaz de acionar um evento de mudança de sessão (no Windows) ou um desligamento do sistema (no macOS) após o objeto PowerMonitor ter sido coletado pelo coletor de lixo. Isso pode ser alcançado manipulando o sistema operacional ou executando código malicioso dentro do aplicativo Electron. A dificuldade de exploração depende da capacidade do atacante de controlar o fluxo de eventos do sistema. Embora a exploração possa ser complexa, o impacto potencial (execução de código arbitrário) justifica a aplicação da correção.
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para a versão 38.8.6 ou superior do Electron, 39.8.1 ou superior, 40.8.0 ou superior, ou 41.0.0-beta.8 ou superior. Essas versões incluem correções que eliminam as referências pendentes e evitam o uso após liberação. Desenvolvedores que utilizam Electron são fortemente encorajados a atualizar seus aplicativos o mais rápido possível para mitigar este risco. Além disso, revise seu código para garantir que o módulo powerMonitor esteja sendo usado de forma segura e que referências desnecessárias não estejam sendo criadas. Aplicar patches de segurança é uma prática essencial para manter a segurança dos aplicativos Electron.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8. Esta actualización aborda el problema de uso posterior a la liberación al gestionar correctamente los recursos del sistema operativo después de que se recolecten mediante el recolector de basura.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É um erro que ocorre quando um programa tenta acessar memória que já foi liberada, o que pode levar a um comportamento imprevisível ou uma vulnerabilidade de segurança.
É um módulo do Electron que permite que os aplicativos monitorem e respondam a eventos relacionados à energia do sistema, como alterações na bateria ou desligamento do sistema.
Você pode verificar a versão do Electron executando electron --version no seu terminal.
Se não puder atualizar imediatamente, considere implementar medidas de mitigação temporárias, como limitar o uso do módulo powerMonitor ou implementar verificações adicionais para evitar o acesso à memória liberada.
Sim, existem ferramentas de análise estática e dinâmica que podem ajudar a detectar vulnerabilidades de 'uso após liberação' no código do Electron.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.