Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34778 é uma vulnerabilidade de spoofing no electron. Um service worker pode falsificar mensagens de resposta no canal IPC interno, permitindo que um invasor controle os dados. Aplicações com service workers registrados e que usam o resultado de webContents.executeJavaScript() são afetadas. A vulnerabilidade foi corrigida na versão 38.8.6.
A vulnerabilidade CVE-2026-34778 no Electron permite que um service worker em execução em uma sessão falsifique mensagens de resposta no canal IPC interno usado por webContents.executeJavaScript() e métodos relacionados. Isso pode levar a promessa do processo principal a ser resolvida com dados controlados pelo atacante. As aplicações são afetadas apenas se tiverem service workers registrados e usarem o resultado de webContents.executeJavaScript() (ou webFrameMain.executeJavaScript()) em decisões de segurança críticas. O impacto reside na possibilidade de um atacante manipular dados usados em lógica de aplicação crítica, levando a ações não autorizadas ou violações de dados.
Um atacante precisa da capacidade de executar código JavaScript no contexto do renderizador, geralmente alcançada através de um site malicioso ou injeção de código. Uma vez que o service worker é comprometido, ele pode interceptar e modificar as respostas de webContents.executeJavaScript(). O sucesso da exploração depende da confiança da aplicação no resultado de executeJavaScript() para decisões relacionadas à segurança. A complexidade da exploração varia com base na arquitetura da aplicação e nas medidas de segurança existentes.
Applications built with Electron that register service workers and utilize webContents.executeJavaScript() for security-sensitive operations are at risk. This includes desktop applications, web applications packaged as desktop apps, and any Electron-based tools that rely on the return values of webContents.executeJavaScript() for authentication, authorization, or data validation.
• nodejs / supply-chain: Monitor Electron application processes for unusual IPC activity. Use ps aux | grep electron to identify running Electron processes. Inspect the arguments passed to webContents.executeJavaScript() for suspicious patterns.
• generic web: Examine application logs for errors related to IPC communication or unexpected data received from the renderer process. Look for unusual patterns in network traffic associated with the Electron application.
disclosure
Status do Exploit
EPSS
0.01% (percentil 3%)
CISA SSVC
Vetor CVSS
A solução recomendada é atualizar o Electron para a versão 38.8.6 ou superior. Como uma medida temporária, não confie no valor de retorno de webContents.executeJavaScript() para decisões de segurança. Considere implementar validações adicionais no processo principal para verificar a integridade dos dados recebidos. Revise regularmente o código da sua aplicação para identificar quaisquer instâncias de webContents.executeJavaScript() que possam ser vulneráveis. Atualizar para a versão corrigida é a mitigação mais eficaz, abordando a causa raiz da vulnerabilidade.
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Asegúrese de que las aplicaciones no tomen decisiones de seguridad basadas en los resultados de `webContents.executeJavaScript()` o `webFrameMain.executeJavaScript()` cuando se utilizan service workers.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Um service worker é um script que é executado em segundo plano, separado da página web, e pode interceptar e manipular solicitações de rede.
Se sua aplicação Electron usa service workers e confia nos resultados de webContents.executeJavaScript() para segurança, ela é vulnerável.
Como uma medida temporária, evite confiar no valor de retorno de webContents.executeJavaScript() e valide os dados recebidos.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas uma revisão manual do código é recomendada.
IPC significa Inter-Process Communication, ou Comunicação entre Processos. É o mecanismo que permite que diferentes processos em um sistema se comuniquem entre si.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.