MEDIUMCVE-2026-34772CVSS 5.8

CVE-2026-34772：electron UAF漏洞，影响≤38.8.6版本

Q: CVE-2026-34772 是什么 — electron 中的漏洞？

Electron 是一个框架，用于使用 HTML、CSS 和 JavaScript 等 Web 技术构建跨平台桌面应用程序。

Q: electron 中的 CVE-2026-34772 是否会影响我？

此漏洞可能导致应用程序崩溃或行为异常。在更严重的情况下，它可能允许攻击者在用户系统上执行恶意代码。

Q: 如何修复 electron 中的 CVE-2026-34772？

强烈建议升级到版本 38.8.6 或包含此漏洞修复的更高版本。

Q: CVE-2026-34772 是否正在被积极利用？

作为临时解决方法，您可以避免在下载进行时销毁会话，或在关闭会话之前取消挂起的下载。

Q: 在哪里可以找到 electron 关于 CVE-2026-34772 的官方安全通告？

您可以在漏洞数据库（如国家漏洞数据库 (NVD)）和 Electron 文档中找到有关 CVE-2026-34772 的更多信息。

平台

nodejs

组件

electron

修复版本

38.8.7

39.0.1

40.0.1

41.0.1

38.8.6

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-34772是一个electron中的释放后使用（UAF）漏洞。当应用程序允许下载并以编程方式销毁会话时，如果下载的本机保存文件对话框打开时会话被拆除，则关闭对话框会取消引用已释放的内存，这可能导致崩溃或内存损坏。此漏洞影响electron ≤38.8.6版本。已在41.0.0-beta.7、40.7.0、39.8.0和38.8.6版本中修复。

影响与攻击场景

CVE-2026-34772 影响允许下载并以编程方式销毁用户会话的 Electron 应用程序。该漏洞在于潜在的 use-after-free 情况。如果在下载的本机保存文件对话框打开时会话被销毁，则关闭对话框可能会导致访问已释放的内存，从而可能导致应用程序崩溃或内存损坏。此漏洞对于管理文件下载并实现动态会话终止机制的应用程序尤其相关。CVSS 严重程度评分为 5.8，表明存在中等风险。

利用背景

利用此漏洞需要攻击者在 Electron 应用程序运行时启动下载，并在保存对话框完成之前同时触发用户会话终止。这可以通过精心策划的一系列事件来实现，例如用户操作触发会话终止，而下载正在进行中。利用难度取决于应用程序的架构以及会话和下载的管理方式。利用成功可能导致任意代码执行或拒绝服务。

哪些人处于风险中翻译中…

Applications built with Electron that allow downloads and programmatically destroy user sessions are at risk. This includes desktop applications, progressive web apps (PWAs), and any Electron-based software that handles file downloads and user authentication. Specifically, applications with poorly implemented session management or download handling are particularly vulnerable.

检测步骤翻译中…

• windows / supply-chain: Monitor Electron processes (Get-Process electron) for unusual memory usage patterns. Check scheduled tasks for suspicious scripts that might be manipulating Electron sessions.

Get-Process electron | Select-Object Name, CPU, WorkingSet

• linux / server: Use journalctl to filter for Electron application crashes or errors related to memory access.

journalctl -u electron -g 'memory access' --since '1 hour'

• generic web: Examine web application logs for errors related to Electron components or download processes. Check for unusual network requests associated with Electron applications.

攻击时间线

2026-04-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.02% (4% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件electron

供应商osv

影响范围修复版本

< 38.8.6 – < 38.8.638.8.7

>= 39.0.0-alpha.1, < 39.8.0 – >= 39.0.0-alpha.1, < 39.8.039.0.1

>= 40.0.0-alpha.1, < 40.7.0 – >= 40.0.0-alpha.1, < 40.7.040.0.1

>= 41.0.0-alpha.1, < 41.0.0-beta.8 – >= 41.0.0-alpha.1, < 41.0.0-beta.841.0.1

—38.8.6

弱点分类 (CWE)

CWE-416

时间线

已保留2026-03-30
发布日期2026-04-03
修改日期2026-04-06
EPSS 更新日期2026-04-11

缓解措施和替代方案

针对 CVE-2026-34772 的主要缓解措施是在下载保存对话框处于活动状态时避免销毁用户会话。如果下载正在进行中，建议在关闭会话之前取消下载。升级到 Electron 版本 38.8.6 是最终解决方案，因为此版本包含此漏洞的修复。此外，重要的是检查应用程序代码以识别和更正下载过程中早期会话终止的任何情况。彻底的测试有助于检测和防止此类问题。

修复方法翻译中…

Actualice a una versión de Electron que incluya la corrección, como 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8.  Asegúrese de probar exhaustivamente su aplicación después de la actualización para garantizar la compatibilidad.  Si no es posible actualizar inmediatamente, considere implementar medidas de mitigación para evitar la destrucción de sesiones mientras se abren diálogos de guardado de archivos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34772 是什么 — electron 中的漏洞？