Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34772 é uma vulnerabilidade do tipo Use-After-Free no Electron. Essa falha pode ocorrer em aplicativos que permitem downloads e destroem sessões programaticamente, levando a um crash ou corrupção de memória ao acessar memória liberada durante o fechamento de um diálogo de salvamento de arquivo. As versões afetadas são anteriores à 38.8.6. A vulnerabilidade foi corrigida na versão 38.8.6 e em versões mais recentes.
A vulnerabilidade CVE-2026-34772 afeta aplicações Electron que permitem downloads e destroem sessões de utilizador de forma programática. A vulnerabilidade reside num possível uso de memória libertada (use-after-free). Se uma sessão for encerrada enquanto um diálogo nativo de guardar ficheiro para um download estiver aberto, fechar o diálogo pode causar acesso a memória já libertada, levando potencialmente a um crash da aplicação ou corrupção de memória. Esta vulnerabilidade é particularmente relevante para aplicações que gerem downloads de ficheiros e implementem mecanismos de encerramento de sessão dinâmicos. A pontuação de severidade CVSS é de 5.8, indicando um risco moderado.
A exploração desta vulnerabilidade requer que um atacante inicie um download enquanto a aplicação Electron está em execução e, simultaneamente, desencadeie o encerramento da sessão do utilizador antes que o diálogo de guardar seja concluído. Isto pode ser alcançado através de uma sequência cuidadosamente orquestrada de eventos, como uma ação do utilizador que desencadeia o encerramento da sessão enquanto o download está em curso. A dificuldade de exploração depende da arquitetura da aplicação e de como as sessões e os downloads são geridos. A exploração bem-sucedida pode resultar na execução de código arbitrário ou na negação de serviço.
Applications built with Electron that allow downloads and programmatically destroy user sessions are at risk. This includes desktop applications, progressive web apps (PWAs), and any Electron-based software that handles file downloads and user authentication. Specifically, applications with poorly implemented session management or download handling are particularly vulnerable.
• windows / supply-chain: Monitor Electron processes (Get-Process electron) for unusual memory usage patterns. Check scheduled tasks for suspicious scripts that might be manipulating Electron sessions.
Get-Process electron | Select-Object Name, CPU, WorkingSet• linux / server: Use journalctl to filter for Electron application crashes or errors related to memory access.
journalctl -u electron -g 'memory access' --since '1 hour'• generic web: Examine web application logs for errors related to Electron components or download processes. Check for unusual network requests associated with Electron applications.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação principal para CVE-2026-34772 é evitar o encerramento de sessões de utilizador enquanto um diálogo de guardar download estiver ativo. Se um download estiver em curso, recomenda-se cancelar o download antes de encerrar a sessão. Atualizar para a versão 38.8.6 do Electron é a solução definitiva, pois esta versão inclui a correção para esta vulnerabilidade. Além disso, é importante rever o código da aplicação para identificar e corrigir quaisquer instâncias de encerramento de sessão prematuro durante os downloads. Testes exaustivos podem ajudar a detetar e prevenir este tipo de problema.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de probar exhaustivamente su aplicación después de la actualización para garantizar la compatibilidad. Si no es posible actualizar inmediatamente, considere implementar medidas de mitigación para evitar la destrucción de sesiones mientras se abren diálogos de guardado de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Electron é um framework para construir aplicações de desktop multiplataforma usando tecnologias web como HTML, CSS e JavaScript.
A vulnerabilidade pode causar o crash da aplicação ou um comportamento inesperado. Em casos mais graves, pode permitir que um atacante execute código malicioso no sistema do utilizador.
Recomenda-se vivamente atualizar para a versão 38.8.6 ou para uma versão posterior que contenha a correção para esta vulnerabilidade.
Como solução temporária, pode evitar o encerramento de sessões enquanto um download está em curso ou cancelar os downloads pendentes antes de encerrar a sessão.
Pode encontrar mais informações sobre CVE-2026-34772 em bases de dados de vulnerabilidades como o National Vulnerability Database (NVD) e na documentação do Electron.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.