Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
A CVE-2026-34771 descreve uma vulnerabilidade do tipo Use-After-Free no componente electron. Essa falha pode ocorrer em aplicativos que registram um session.setPermissionRequestHandler() assíncrono, tornando-os vulneráveis durante o tratamento de solicitações de permissão de tela cheia, bloqueio de ponteiro ou bloqueio de teclado. Se o frame solicitante navegar ou a janela fechar enquanto o manipulador de permissão estiver pendente, a invocação do callback armazenado desreferencia a memória liberada, podendo levar a um crash ou corrupção de memória. A vulnerabilidade foi corrigida na versão 38.8.6 do electron.
An attacker exploiting this vulnerability could potentially trigger a crash or memory corruption within an Electron application. This could lead to denial of service, or in more severe cases, allow for arbitrary code execution if the memory corruption overwrites critical data structures. The impact is particularly concerning for applications handling sensitive user data or operating with elevated privileges. While the description doesn't explicitly detail a remote exploitation path, a malicious website or application could trigger the vulnerability if it interacts with an Electron app that has a vulnerable permission handler registered. The blast radius depends on the privileges of the Electron application itself.
This CVE was published on 2026-04-03. There is no indication of active exploitation or inclusion on the CISA KEV catalog at the time of writing. Public proof-of-concept (POC) code is currently unavailable, but the use-after-free nature of the vulnerability suggests that a POC could be developed relatively easily. The vulnerability's impact is dependent on the specific implementation of permission request handlers within Electron applications.
Applications built using Electron that register asynchronous session.setPermissionRequestHandler() are at risk. This includes a wide range of desktop applications, particularly those that handle user permissions or interact with system resources. Developers using Electron for cross-platform development, especially those relying on third-party libraries or components that utilize permission request handlers, should prioritize patching.
• linux / server: Monitor Electron application logs for crashes or segmentation faults. Use ps aux | grep electron to identify running Electron processes and check their resource usage for anomalies.
journalctl -u electron -f | grep -i crash• windows / supply-chain: Use Process Monitor to observe Electron processes and identify any unusual memory access patterns or crashes. Check Autoruns for suspicious Electron-related entries.
Get-Process -Name electron | Select-Object Id, CPU, WorkingSet• generic web: If the Electron application interacts with a web server, examine web server access logs for unusual requests that might trigger the permission request handler.
disclosure
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
The primary mitigation for CVE-2026-34771 is to upgrade to Electron version 38.8.6 or later. If upgrading is not immediately feasible due to compatibility issues or breaking changes, consider temporarily disabling the asynchronous session.setPermissionRequestHandler() functionality if it's not essential. Carefully review the Electron changelog for potential breaking changes before upgrading. There are no specific WAF or proxy rules that can directly address this vulnerability, as it's a code-level issue within the Electron application. Monitor Electron application logs for crashes or unexpected behavior that might indicate exploitation.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8. Esta actualización soluciona un problema de uso después de liberar que puede ocurrir al manejar solicitudes de permisos de pantalla completa, bloqueo de puntero o bloqueo de teclado, previniendo así posibles fallos o corrupción de memoria.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A CVE-2026-34771 é uma vulnerabilidade do tipo Use-After-Free no electron que pode levar a crashes ou corrupção de memória em aplicativos que usam session.setPermissionRequestHandler() assíncrono.
Você é afetado se seu aplicativo electron registra um session.setPermissionRequestHandler() assíncrono e lida com solicitações de permissão de tela cheia, bloqueio de ponteiro ou bloqueio de teclado. Aplicativos que respondem de forma síncrona não são afetados.
A vulnerabilidade foi corrigida na versão 38.8.6 do electron. Atualize para esta versão ou mais recente para mitigar o risco. Como alternativa, responda às solicitações de permissão de forma síncrona.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.