Plataforma
nodejs
Componente
electron
Corrigido em
39.0.1
40.0.1
41.0.1
A vulnerabilidade CVE-2026-34780 permite um bypass de isolamento de contexto no Electron. Aplicativos que passam objetos VideoFrame (da API WebCodecs) através da contextBridge são vulneráveis. Um atacante que pode executar JavaScript no mundo principal (por exemplo, via XSS) pode usar um VideoFrame para obter acesso ao mundo isolado, incluindo APIs Node.js expostas ao script de preload. A vulnerabilidade foi corrigida na versão 39.8.0.
CVE-2026-34780 afeta o Electron, um framework para a criação de aplicações de desktop multiplataforma. A vulnerabilidade reside na forma como os objetos VideoFrame (provenientes da API WebCodecs) são tratados quando passados através de um contextBridge. Nas versões 39.0.0-alpha.1 e anteriores a 39.8.0, 40.0.0-alpha.1 e anteriores a 40.7.0, e 41.0.0-alpha.1 e anteriores a 41.0.0-beta.8, um atacante que possa executar JavaScript no mundo principal (por exemplo, via XSS) pode usar um VideoFrame com ponte para contornar o isolamento do contexto e, potencialmente, acessar recursos protegidos. Isso pode levar à execução de código arbitrário ou ao acesso a dados sensíveis dentro da aplicação Electron.
A exploração desta vulnerabilidade requer que um atacante tenha a capacidade de executar JavaScript no contexto principal da aplicação Electron. Isso pode ser alcançado através de uma vulnerabilidade de Cross-Site Scripting (XSS) na aplicação ou através da manipulação de um componente vulnerável. Uma vez que o atacante tenha controle sobre o JavaScript no contexto principal, ele pode criar um VideoFrame malicioso e passá-lo através do contextBridge para contornar o isolamento do contexto e executar código arbitrário no contexto isolado.
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar para uma versão do Electron que inclua a correção. As versões afetadas são aquelas anteriores a 39.8.0, 40.7.0 e 41.0.0-beta.8. Recomenda-se fortemente atualizar para a versão estável mais recente do Electron disponível. Além disso, revise o código da sua aplicação para garantir que o tratamento de VideoFrame via contextBridge seja realizado de forma segura e que dados sensíveis não sejam passados sem a validação adequada. A implementação de controles de segurança adicionais, como validação de entrada e sanitização de dados, pode ajudar a mitigar o risco.
Actualice a una versión de Electron que incluya la corrección, como 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de que su preload script no esté exponiendo VideoFrame objects a través de contextBridge si no es absolutamente necesario. Revise su código para identificar y eliminar cualquier uso innecesario de VideoFrame objects en el contextoBridge.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
contextBridge é um recurso do Electron que permite que as aplicações web se comuniquem de forma segura com o processo principal do Node.js.
A API WebCodecs fornece uma interface para codificar e decodificar mídia, como vídeo e áudio, no navegador.
Verifique a versão do Electron que está a usar. Se for anterior a 39.8.0, 40.7.0 ou 41.0.0-beta.8, é vulnerável.
Se não puder atualizar imediatamente, considere implementar medidas de mitigação adicionais, como validação de entrada e sanitização de dados.
Atualmente, não existem ferramentas específicas para detetar esta vulnerabilidade, mas é recomendada uma revisão de código completa.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.