Electron: Seleção de dispositivo USB não validada em relação à lista de dispositivos filtrados
Plataforma
nodejs
Componente
electron
Corrigido em
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
A vulnerabilidade CVE-2026-34766 reside em uma falha de validação no Electron, onde o callback do evento select-usb-device não validava o ID do dispositivo escolhido em relação à lista filtrada. Isso poderia permitir que um aplicativo concedesse acesso a um dispositivo fora dos filtros solicitados. A vulnerabilidade afeta versões anteriores à 38.8.6 do Electron. A correção foi implementada na versão 38.8.6.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-34766 no Electron afeta a forma como os dispositivos USB são tratados através do WebUSB. Especificamente, a função de callback do evento select-usb-device não validava corretamente o ID do dispositivo selecionado em comparação com a lista filtrada apresentada ao manipulador. Isso permitiu que uma aplicação maliciosa, capaz de influenciar o manipulador, selecionasse um ID de dispositivo que não correspondia aos filters solicitados pelo renderizador ou que estivesse na lista exclusionFilters. Embora a lista negra de segurança do WebUSB continuasse a ser aplicada, protegendo os dispositivos sensíveis, esta vulnerabilidade permitiu o acesso a dispositivos indesejados.
Contexto de Exploração
Um atacante poderia explorar esta vulnerabilidade se puder controlar o código que trata a seleção do dispositivo USB dentro de uma aplicação Electron. Isso poderia ser alcançado através da injeção de código malicioso ou da manipulação da entrada do usuário. O atacante poderia então selecionar um dispositivo USB não autorizado, comprometendo potencialmente a segurança do sistema. A dificuldade da exploração depende da complexidade da aplicação Electron e das medidas de segurança implementadas.
Quem Está em Riscotraduzindo…
Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.
Passos de Detecçãotraduzindo…
• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.
Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
Get-Process -Id $_.Id | Select-Object DeviceHandles
}• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".
journalctl | grep "WebUSB" -iLinha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.02% (percentil 7%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Local — o atacante precisa de sessão local ou shell no sistema.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A correção para esta vulnerabilidade é atualizar para a versão 38.8.6 ou superior do Electron. Esta atualização implementa uma validação mais rigorosa do ID do dispositivo selecionado, garantindo que corresponda aos filtros especificados. Os desenvolvedores são fortemente encorajados a atualizar suas aplicações Electron o mais rápido possível para mitigar este risco. Além disso, revise seu código em busca de possíveis pontos de entrada onde um atacante possa influenciar a seleção do dispositivo.
Como corrigirtraduzindo…
Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2026-34766 em electron?
WebUSB é uma API web que permite que aplicações web acessem dispositivos USB conectados ao computador do usuário.
Estou afetado pelo CVE-2026-34766 no electron?
Os usuários podem ser afetados se uma aplicação Electron maliciosa explorar esta vulnerabilidade para acessar dispositivos USB não autorizados.
Como corrijo o CVE-2026-34766 no electron?
Atualize sua aplicação Electron para a versão 38.8.6 ou superior o mais rápido possível.
O CVE-2026-34766 está sendo explorado ativamente?
Sim, a lista negra de segurança do WebUSB continua eficaz e protege dispositivos sensíveis.
Onde encontro o aviso oficial do electron para o CVE-2026-34766?
Consulte o aviso de segurança do Electron para obter mais detalhes: [Link para o Aviso de Segurança do Electron]
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.