平台
nodejs
组件
electron
修复版本
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34777是electron中的一个权限绕过漏洞。当iframe请求fullscreen、pointerLock、keyboardLock、openExternal或media权限时,传递给session.setPermissionRequestHandler()的来源是顶级页面的来源,而不是请求iframe的来源。此漏洞影响electron ≤38.8.6版本。开发者应检查details.requestingUrl以验证请求来源。目前没有官方补丁可用。
Electron 中的 CVE-2026-34777 漏洞影响了 iframe 中权限请求的处理方式。具体来说,当 iframe 请求全屏、指针锁定、键盘锁定、外部打开或媒体访问等权限时,Electron 在通过 session.setPermissionRequestHandler() 处理这些请求时,使用了上层页面的 origin,而不是请求的 iframe 的 origin。这意味着依赖 origin 来确定是否授予权限的应用程序可能会无意中授予嵌入在 iframe 中的第三方内容权限,从而可能导致特权提升或对敏感资源的未经授权的访问。
攻击者可以通过在 Electron 应用程序中的 iframe 中注入恶意代码来利用此漏洞。此代码可以请求敏感权限(例如相机或麦克风访问),并且由于 origin 处理错误,应用程序可能会将这些权限授予恶意代码。这可能允许攻击者监视用户、窃取机密信息或代表用户执行其他恶意操作。利用的可能性取决于易受攻击的 Electron 应用程序的普及程度以及攻击者轻松将恶意代码注入 iframe 的程度。
漏洞利用状态
EPSS
0.01% (3% 百分位)
CISA SSVC
此漏洞的解决方案是升级到 Electron 38.8.6 或更高版本。此版本通过确保 session.setPermissionRequestHandler() 接收到请求 iframe 的正确 origin 来修复此问题。强烈建议开发人员尽快更新其 Electron 应用程序以降低风险。此外,建议审查和加强权限控制逻辑,以确保其基于稳健的标准,而不仅仅是 origin,尤其是在处理第三方内容时。定期监控依赖项并应用安全补丁是维护 Electron 应用程序安全性的重要实践。
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior. Verifique que su código no dependa de la origin del iframe para la autorización, sino que utilice `details.requestingUrl` para validar las solicitudes de permisos. Esto evitará que se otorguen permisos a contenido de terceros incrustado.
漏洞分析和关键警报直接发送到您的邮箱。
Electron 是一个用于使用 HTML、CSS 和 JavaScript 等 Web 技术构建跨平台桌面应用程序的框架。
此更新修复了一个安全漏洞,该漏洞可能允许恶意内容在 Electron 应用程序中获取未经授权的权限。
如果您无法立即更新,请仔细审查您的权限控制代码,并确保它不完全依赖 origin 来确定是否应授予权限。
如果您使用的是 38.8.6 之前的 Electron 版本,则您的应用程序容易受到此漏洞的攻击。
您可以在 Electron 网站和 CVE 等漏洞数据库中找到有关此漏洞的更多信息。
CVSS 向量