UNKNOWNCVE-2026-34777
CVE-2026-34777:electron权限绕过漏洞,影响≤38.8.6
平台
nodejs
组件
electron
CVE-2026-34777是electron中的一个权限绕过漏洞。当iframe请求`fullscreen`、`pointerLock`、`keyboardLock`、`openExternal`或`media`权限时,传递给`session.setPermissionRequestHandler()`的来源是顶级页面的来源,而不是请求iframe的来源。此漏洞影响electron ≤38.8.6版本。开发者应检查`details.requestingUrl`以验证请求来源。目前没有官方补丁可用。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
什么是CVE-2026-34777漏洞?
CVE-2026-34777是electron中一个权限绕过漏洞,iframe请求权限时,传递给权限请求处理程序的来源不正确,可能导致第三方内容获得不应有的权限。
我是否受到CVE-2026-34777漏洞的影响?
如果您的electron应用程序使用`session.setPermissionRequestHandler()`并根据来源参数或`webContents.getURL()`授予权限,并且使用的electron版本≤38.8.6,那么您可能受到此漏洞的影响。如果已经检查`details.requestingUrl`,则不受影响。
如何修复CVE-2026-34777漏洞?
在您的`setPermissionRequestHan`中,请确保检查`details.requestingUrl`以验证请求权限的iframe的来源。目前没有官方补丁可用。