MEDIUMCVE-2026-34775CVSS 6.8

CVE-2026-34775：electron nodeIntegrationInWorker配置错误

Q: CVE-2026-34775 是什么 — Electron 中的漏洞？

Electron 是一个用于使用 HTML、CSS 和 JavaScript 编写跨平台桌面应用程序的框架。

Q: Electron 中的 CVE-2026-34775 是否会影响我？

这是一个 Electron 偏好设置，用于控制 worker（子进程）是否可以访问 Node.js API。

Q: 如何修复 Electron 中的 CVE-2026-34775？

如果您正在使用 Electron 并且启用了 `nodeIntegrationInWorker`，则您的应用程序很可能受到影响。请检查您使用的 Electron 版本，并在必要时更新。

Q: CVE-2026-34775 是否正在被积极利用？

如果您无法立即更新，请考虑禁用 `nodeIntegrationInWorker`，除非它对应用程序的功能至关重要。

Q: 在哪里可以找到 Electron 关于 CVE-2026-34775 的官方安全通告？

您可以在国家漏洞数据库 (NVD) 网站和 Electron 博客上找到有关 CVE-2026-34775 的更多信息。

平台

nodejs

组件

electron

修复版本

38.8.7

39.0.1

40.0.1

41.0.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-34775是electron中的一个配置错误漏洞。nodeIntegrationInWorker webPreference在某些配置中没有正确地作用域。在某些进程共享场景中，在配置了nodeIntegrationInWorker: false的帧中生成的worker仍然可以接收Node.js集成。受影响的版本包括electron ≤38.8.6。建议避免在打开子窗口或嵌入具有不同webPreferences的内容的应用中启用nodeIntegrationInWorker。

影响与攻击场景

CVE-2026-34775 影响 Electron，这是一个用于使用 JavaScript、HTML 和 CSS 编写跨平台桌面应用程序的流行框架。在 38.8.6、39.8.4、40.8.4 和 41.0.0 之前的版本中，webPreference nodeIntegrationInWorker 未在所有配置中正确设置范围。这意味着在某些进程共享场景中，配置了 nodeIntegrationInWorker: false 的帧中启动的 worker 仍然可以接收 Node.js 集成。此集成允许 worker 使用访问 Node.js API 的权限执行 JavaScript 代码，如果未正确控制，则可能很危险。此漏洞仅与启用 nodeIntegrationInWorker 的应用程序相关。该漏洞的严重程度在 CVSS 规模上评为 6.8。

利用背景

利用此漏洞需要攻击者能够控制 Electron 应用程序中帧的内容，并且应用程序已启用 nodeIntegrationInWorker。攻击者可以将恶意代码注入到帧中，并利用 Node.js 集成在 Electron 应用程序的上下文中执行任意代码。这可能允许攻击者访问敏感数据、修改应用程序行为或完全控制系统。利用的可能性取决于应用程序的配置以及应用程序对不受信任内容的暴露。

哪些人处于风险中翻译中…

Applications built with Electron that utilize workers and have enabled nodeIntegrationInWorker are at risk. This includes desktop applications that handle sensitive data, interact with external APIs, or process user input. Shared hosting environments where multiple Electron applications share resources could also be vulnerable if one application is compromised.

检测步骤翻译中…

• linux / server:

ps aux | grep -i electron | grep -i 'nodeIntegrationInWorker'

• windows / supply-chain:

Get-Process -Name Electron | Select-Object -ExpandProperty Path | ForEach-Object { Get-ChildItem $_ -Recurse | Where-Object {$_.Name -match 'nodeIntegrationInWorker'}}

• generic web: Inspect Electron application's web preferences for nodeIntegrationInWorker configuration. Review application code for worker creation and usage patterns.

攻击时间线

2026-04-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.03% (10% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件electron

供应商electron

影响范围修复版本

< 38.8.6 – < 38.8.638.8.7

>= 39.0.0-alpha.1, < 39.8.4 – >= 39.0.0-alpha.1, < 39.8.439.0.1

>= 40.0.0-alpha.1, < 40.8.4 – >= 40.0.0-alpha.1, < 40.8.440.0.1

>= 41.0.0-alpha.1, < 41.0.0 – >= 41.0.0-alpha.1, < 41.0.041.0.1

弱点分类 (CWE)

CWE-653

时间线

已保留2026-03-30
发布日期2026-04-03
修改日期2026-04-08
EPSS 更新日期2026-04-11

缓解措施和替代方案

减轻 CVE-2026-34775 的解决方案是更新到修补了该漏洞的 Electron 版本。受影响的版本包括 38.8.6、39.8.4、40.8.4 和 41.0.0 之前的版本。强烈建议更新到最新可用版本（目前为 38.8.6 或更高版本）。此外，请检查应用程序中的 nodeIntegrationInWorker 配置，以确保仅在绝对必要时才启用它。如果未使用 nodeIntegrationInWorker，则禁用它可以通过减少应用程序的攻击面来降低风险。更新应按照 Electron 团队提供的升级说明进行。

修复方法翻译中…

Actualice Electron a la versión 38.8.6, 39.8.4, 40.8.4 o 41.0.0 para mitigar la vulnerabilidad.  Asegúrese de que la opción `nodeIntegrationInWorker` esté configurada correctamente para evitar la ejecución no intencionada de código Node.js en workers.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34775 是什么 — Electron 中的漏洞？