Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
CVE-2026-34775 descreve uma vulnerabilidade no Electron onde a webPreference nodeIntegrationInWorker não era corretamente aplicada em todas as configurações. Isso permitia que workers iniciados em frames configurados com nodeIntegrationInWorker: false ainda recebessem integração com Node.js, em cenários específicos de compartilhamento de processos. A falha afeta aplicativos que habilitam nodeIntegrationInWorker. A vulnerabilidade foi corrigida nas versões 41.0.0, 40.8.4, 39.8.4 e 38.8.6 do Electron.
A CVE-2026-34775 afeta o Electron, um framework popular para a criação de aplicações de desktop multiplataforma. A vulnerabilidade reside na forma como a preferência web nodeIntegrationInWorker é tratada. Em versões anteriores a 38.8.6, 39.8.4, 40.8.4 e 41.0.0, esta preferência não era corretamente escopo em todas as configurações. Isso significava que, em determinados cenários de compartilhamento de processos, workers criados em frames configurados com nodeIntegrationInWorker: false ainda poderiam receber a integração do Node.js. Essa integração permite que os workers executem código JavaScript com acesso às APIs do Node.js, o que pode ser perigoso se não for devidamente controlado. A vulnerabilidade é relevante apenas para aplicações que habilitam explicitamente nodeIntegrationInWorker. A severidade da vulnerabilidade foi classificada como 6.8 na escala CVSS.
A exploração desta vulnerabilidade requer que um atacante seja capaz de controlar o conteúdo de um frame dentro da aplicação Electron e que a aplicação tenha nodeIntegrationInWorker habilitado. O atacante pode injetar código malicioso no frame e, aproveitando a integração do Node.js, executar código arbitrário no contexto da aplicação Electron. Isso pode permitir que o atacante acesse dados confidenciais, modifique o comportamento da aplicação ou até mesmo assuma o controle total do sistema. A probabilidade de exploração depende da configuração da aplicação e da exposição da aplicação a conteúdo não confiável.
Applications built with Electron that utilize workers and have enabled nodeIntegrationInWorker are at risk. This includes desktop applications that handle sensitive data, interact with external APIs, or process user input. Shared hosting environments where multiple Electron applications share resources could also be vulnerable if one application is compromised.
• linux / server:
ps aux | grep -i electron | grep -i 'nodeIntegrationInWorker'• windows / supply-chain:
Get-Process -Name Electron | Select-Object -ExpandProperty Path | ForEach-Object { Get-ChildItem $_ -Recurse | Where-Object {$_.Name -match 'nodeIntegrationInWorker'}} • generic web:
Inspect Electron application's web preferences for nodeIntegrationInWorker configuration. Review application code for worker creation and usage patterns.
disclosure
Status do Exploit
EPSS
0.03% (percentil 10%)
CISA SSVC
Vetor CVSS
A solução para mitigar a CVE-2026-34775 é atualizar para uma versão do Electron que corrija a vulnerabilidade. As versões afetadas são todas as versões anteriores a 38.8.6, 39.8.4, 40.8.4 e 41.0.0. Recomenda-se fortemente atualizar para a versão mais recente disponível (atualmente 38.8.6 ou superior). Além disso, revise a configuração de nodeIntegrationInWorker em sua aplicação para garantir que ela seja habilitada apenas quando absolutamente necessário. Se nodeIntegrationInWorker não for usado, desabilitá-la pode reduzir a superfície de ataque da aplicação. A atualização deve ser realizada seguindo as instruções de atualização fornecidas pela equipe do Electron.
Actualice Electron a la versión 38.8.6, 39.8.4, 40.8.4 o 41.0.0 para mitigar la vulnerabilidad. Asegúrese de que la opción `nodeIntegrationInWorker` esté configurada correctamente para evitar la ejecución no intencionada de código Node.js en workers.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Electron é um framework para criar aplicações de desktop multiplataforma usando tecnologias web como HTML, CSS e JavaScript.
É uma preferência do Electron que controla se os workers (processos filhos) podem acessar as APIs do Node.js.
Se você estiver usando Electron e tiver habilitado nodeIntegrationInWorker, sua aplicação provavelmente está afetada. Verifique a versão do Electron que você está usando e atualize se necessário.
Se você não puder atualizar imediatamente, considere desabilitar nodeIntegrationInWorker se não for essencial para a funcionalidade da sua aplicação.
Você pode encontrar mais informações sobre CVE-2026-34775 no site do National Vulnerability Database (NVD) e no blog do Electron.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.