Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34776 descreve uma vulnerabilidade de leitura heap fora dos limites no Electron, afetando macOS e Linux. Apps que usam app.requestSingleInstanceLock() podem vazar memória para o manipulador de eventos second-instance ao processar mensagens maliciosas. A falha afeta processos executados sob o mesmo usuário do Electron. A vulnerabilidade foi corrigida nas versões 38.8.6, 40.8.1 e 41.0.0.
A CVE-2026-34776 afeta aplicações Electron que utilizam app.requestSingleInstanceLock() em macOS e Linux. A vulnerabilidade permite uma leitura fora dos limites no heap de memória ao processar uma mensagem de segunda instância manipulada. Isso pode resultar em memória comprometida sendo entregue ao manipulador de eventos second-instance da aplicação. É importante notar que esta vulnerabilidade só é explorável em processos que são executados com o mesmo utilizador que a aplicação Electron. Aplicações que não chamam app.requestSingleInstanceLock() não são afetadas, e o Windows está excluído deste problema.
Um atacante pode criar uma mensagem de segunda instância maliciosa e enviá-la para uma aplicação Electron vulnerável que esteja a utilizar app.requestSingleInstanceLock(). Se a aplicação processar esta mensagem sem a validação adequada, pode ocorrer uma leitura fora dos limites no heap de memória, permitindo ao atacante ler informações sensíveis ou até mesmo executar código arbitrário. O sucesso da exploração depende da capacidade do atacante de controlar a mensagem de segunda instância e da execução do processo com os mesmos privilégios que a aplicação Electron.
Developers and users of Electron applications that utilize app.requestSingleInstanceLock() on macOS and Linux are at risk. This includes applications built using frameworks like React, Angular, or Vue.js that leverage Electron for desktop deployment. Shared hosting environments where multiple Electron applications run under the same user account could amplify the potential impact.
• linux / server: Monitor Electron application logs for errors related to memory access or crashes. Use ps and lsof to identify running Electron processes and their associated files.
ps aux | grep electron
lsof -p $(pidof electron)• windows / supply-chain: Use Process Monitor to observe Electron application processes and identify any unusual file access patterns or memory reads. Check Autoruns for any suspicious Electron-related entries.
Get-Process electron | Select-Object Id, ProcessName, Path• generic web: While this vulnerability is not directly web-facing, monitor Electron-based desktop applications for unexpected behavior or crashes after receiving second-instance messages.
disclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar para a versão 38.8.6 ou superior do Electron. Atualmente, não existem soluções alternativas a nível de aplicação para mitigar este problema. Os desenvolvedores que dependem de app.requestSingleInstanceLock() são fortemente aconselhados a atualizar as suas aplicações o mais rapidamente possível para evitar potenciais ataques. Monitorizar regularmente as atualizações do Electron e aplicar patches de segurança é uma prática fundamental para manter a segurança das aplicações.
Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.1, 40.8.1 o 41.0.0. Esta actualización aborda una vulnerabilidad de lectura fuera de límites en el manejo de mensajes de segunda instancia, previniendo la posible fuga de memoria a aplicaciones que utilizan `app.requestSingleInstanceLock()`.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
É uma função do Electron que garante que apenas uma instância da aplicação é executada de cada vez. Se for tentada iniciar uma segunda instância, esta conecta-se à primeira.
Se a sua aplicação Electron utiliza app.requestSingleInstanceLock() e está a ser executada em macOS ou Linux, é provável que seja vulnerável. Verifique a sua versão do Electron.
Dependendo das suas necessidades, pode implementar a sua própria lógica para controlar a execução de múltiplas instâncias, mas isso requer um esforço de desenvolvimento significativo.
Embora não existam soluções alternativas diretas, considere implementar medidas de segurança adicionais, como a validação estrita dos dados de entrada, para reduzir o risco de exploração.
Não, esta vulnerabilidade não afeta as aplicações Electron que são executadas no Windows.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.