Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
A vulnerabilidade CVE-2026-34777 permite que um iframe solicite permissões (fullscreen, pointerLock, keyboardLock, openExternal, ou media) com a origem da página de nível superior em vez da sua própria. Isso pode levar à concessão indevida de permissões a conteúdo de terceiros. A falha afeta versões do Electron anteriores à 38.8.6. A vulnerabilidade foi corrigida na versão 38.8.6.
A vulnerabilidade CVE-2026-34777 no Electron afeta a forma como os pedidos de permissão são tratados dentro de iframes. Especificamente, quando um iframe solicita permissões como tela cheia, bloqueio do ponteiro, bloqueio do teclado, abertura externa ou acesso a mídia, o Electron estava usando a origem da página de nível superior em vez da origem do iframe solicitante ao processar esses pedidos através de session.setPermissionRequestHandler(). Isso significa que uma aplicação que depende da origem para determinar se uma permissão deve ser concedida pode, inadvertidamente, conceder permissões a conteúdo de terceiros incorporado dentro do iframe, potencialmente levando à escalada de privilégios ou acesso não autorizado a recursos sensíveis.
Um atacante pode explorar esta vulnerabilidade injetando código malicioso em um iframe dentro de uma aplicação Electron. Este código pode solicitar permissões sensíveis (como acesso à câmera ou microfone), e, devido ao erro de tratamento da origem, a aplicação pode conceder essas permissões ao código malicioso. Isso pode permitir que o atacante espione o usuário, roube informações confidenciais ou execute outras ações maliciosas em nome do usuário. A probabilidade de exploração depende da prevalência de aplicações Electron vulneráveis e da facilidade com que os atacantes podem injetar código malicioso em iframes.
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para a versão 38.8.6 ou superior do Electron. Esta versão corrige o problema garantindo que session.setPermissionRequestHandler() receba a origem correta do iframe solicitante. Os desenvolvedores são fortemente encorajados a atualizar suas aplicações Electron o mais rápido possível para mitigar o risco. Além disso, recomenda-se rever e fortalecer a lógica de controle de permissões para garantir que ela dependa de critérios robustos e não apenas da origem, especialmente ao lidar com conteúdo de terceiros. Monitorar regularmente as dependências e aplicar patches de segurança é uma prática essencial para manter a segurança das aplicações Electron.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Verifique que su código no dependa de la origin del iframe para la autorización, sino que utilice `details.requestingUrl` para validar las solicitudes de permisos. Esto evitará que se otorguen permisos a contenido de terceros incrustado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Electron é um framework para construir aplicações de desktop multiplataforma usando tecnologias web como HTML, CSS e JavaScript.
Esta atualização corrige uma vulnerabilidade de segurança que poderia permitir que conteúdo malicioso obtivesse permissões não autorizadas dentro de uma aplicação Electron.
Se não puder atualizar imediatamente, revise cuidadosamente seu código de controle de permissões e certifique-se de que não dependa apenas da origem para determinar se uma permissão deve ser concedida.
Se você estiver usando uma versão do Electron anterior à 38.8.6, sua aplicação é vulnerável a esta vulnerabilidade.
Você pode encontrar mais informações sobre esta vulnerabilidade no site do Electron e em bancos de dados de vulnerabilidades como CVE.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.