LOWCVE-2026-34766CVSS 3.3

CVE-2026-34766：Electron USB设备选择验证漏洞 (≤38.8.6)

Q: CVE-2026-34766 是什么 — electron 中的漏洞？

WebUSB 是一种 Web API，允许 Web 应用程序访问连接到用户计算机的 USB 设备。

Q: electron 中的 CVE-2026-34766 是否会影响我？

如果恶意 Electron 应用程序利用此漏洞访问未经授权的 USB 设备，则用户可能会受到影响。

Q: 如何修复 electron 中的 CVE-2026-34766？

尽快将 Electron 应用程序更新到版本 38.8.6 或更高版本。

Q: CVE-2026-34766 是否正在被积极利用？

是的，WebUSB 安全阻止列表仍然有效，并保护敏感设备。

Q: 在哪里可以找到 electron 关于 CVE-2026-34766 的官方安全通告？

请参阅 Electron 安全公告以获取更多详细信息：[Electron 安全公告链接]

平台

nodejs

组件

electron

修复版本

38.8.7

39.0.1

40.0.1

41.0.1

38.8.6

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-34766是一个Electron中的USB设备选择验证漏洞。由于select-usb-device事件回调未验证所选设备ID，攻击者可能绕过过滤列表，访问未授权设备，影响具有特殊设备选择逻辑的应用程序。该漏洞影响Electron版本≤38.8.6。目前没有应用端的修复方案。

影响与攻击场景

CVE-2026-34766 影响 Electron 中通过 WebUSB 处理 USB 设备的方式。具体来说，select-usb-device 事件的回调函数没有正确验证所选设备 ID 是否与呈现给处理程序的过滤列表匹配。这允许能够影响处理程序的恶意应用程序选择一个与渲染器请求的 filters 不匹配或在 exclusionFilters 列表中列出的设备 ID。虽然 WebUSB 安全阻止列表仍然生效，从而保护了敏感设备，但此漏洞允许访问不需要的设备。

利用背景

如果攻击者能够控制 Electron 应用程序中处理 USB 设备选择的代码，则他们可以利用此漏洞。这可以通过恶意代码注入或用户输入操纵来实现。然后，攻击者可以选择一个未经授权的 USB 设备，从而可能危及系统安全。利用难度取决于 Electron 应用程序的复杂性和实施的安全措施。

哪些人处于风险中翻译中…

Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.

检测步骤翻译中…

• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.

Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
  Get-Process -Id $_.Id | Select-Object DeviceHandles
}

• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".

journalctl | grep "WebUSB" -i

攻击时间线

2026-04-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.02% (7% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件electron

供应商osv

影响范围修复版本

< 38.8.6 – < 38.8.638.8.7

>= 39.0.0-alpha.1, < 39.8.0 – >= 39.0.0-alpha.1, < 39.8.039.0.1

>= 40.0.0-alpha.1, < 40.7.0 – >= 40.0.0-alpha.1, < 40.7.040.0.1

>= 41.0.0-alpha.1, < 41.0.0-beta.8 – >= 41.0.0-alpha.1, < 41.0.0-beta.841.0.1

—38.8.6

弱点分类 (CWE)

CWE-862

时间线

已保留2026-03-30
发布日期2026-04-03
修改日期2026-04-06
EPSS 更新日期2026-04-11

缓解措施和替代方案

此漏洞的修复方法是更新到 Electron 版本 38.8.6 或更高版本。此更新实施了对所选设备 ID 的更严格验证，确保其与指定的过滤器匹配。强烈建议开发人员尽快更新其 Electron 应用程序以降低此风险。此外，请检查您的代码，查找攻击者可能能够影响设备选择的潜在入口点。

修复方法翻译中…

Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad.  Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34766 是什么 — electron 中的漏洞？