MEDIUMCVE-2026-34778CVSS 5.9

CVE-2026-34778：electron 服务worker欺骗漏洞，中危

Q: CVE-2026-34778 是什么 — electron 中的漏洞？

服务 worker 是一种在网页之外后台运行的脚本，可以拦截和操作网络请求。

Q: electron 中的 CVE-2026-34778 是否会影响我？

如果您的 Electron 应用程序使用服务 worker 并且信任 `webContents.executeJavaScript()` 的结果以进行安全，则它将受到影响。

Q: 如何修复 electron 中的 CVE-2026-34778？

作为临时解决方法，请勿信任 `webContents.executeJavaScript()` 的返回值并验证接收到的数据。

Q: CVE-2026-34778 是否正在被积极利用？

目前没有用于检测此漏洞的特定工具，但建议进行手动代码审查。

Q: 在哪里可以找到 electron 关于 CVE-2026-34778 的官方安全通告？

'IPC' 代表 Inter-Process Communication，即进程间通信。它是系统中的不同进程相互通信的机制。

平台

nodejs

组件

electron

修复版本

38.8.7

39.0.1

40.0.1

41.0.1

38.8.6

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年4月

在NVD查看

保存

CVE-2026-34778是electron中的一个欺骗漏洞。在会话中运行的服务worker可以欺骗webContents.executeJavaScript()和相关方法使用的内部IPC通道上的回复消息，导致主进程promise解析为攻击者控制的数据。受影响的版本包括electron ≤38.8.6。只有注册了服务worker并且在安全敏感的决策中使用webContents.executeJavaScript()结果的应用才会受到影响。建议不要信任webContents.executeJavaScript()的返回值。

影响与攻击场景

Electron 中的 CVE-2026-34778 允许会话中运行的服务 worker 伪造 webContents.executeJavaScript() 和相关方法使用的内部 IPC 渠道上的回复消息。这可能导致主进程的 Promise 使用攻击者控制的数据解决。只有当应用程序注册了服务 worker 并且使用 webContents.executeJavaScript() (或 webFrameMain.executeJavaScript()) 的结果进行安全敏感决策时，应用程序才会受到影响。影响在于攻击者可能能够操纵应用程序关键逻辑中使用的任何数据，从而导致未经授权的操作或数据泄露。

利用背景

攻击者需要能够通过恶意网站或代码注入在渲染器上下文中执行 JavaScript 代码。一旦服务 worker 被破坏，它可以拦截和修改来自 webContents.executeJavaScript() 的响应。利用的成功取决于应用程序对 executeJavaScript() 结果的安全相关决策的依赖性。利用的复杂性取决于应用程序的架构和现有的安全措施。

哪些人处于风险中翻译中…

Applications built with Electron that register service workers and utilize webContents.executeJavaScript() for security-sensitive operations are at risk. This includes desktop applications, web applications packaged as desktop apps, and any Electron-based tools that rely on the return values of webContents.executeJavaScript() for authentication, authorization, or data validation.

检测步骤翻译中…

• nodejs / supply-chain: Monitor Electron application processes for unusual IPC activity. Use ps aux | grep electron to identify running Electron processes. Inspect the arguments passed to webContents.executeJavaScript() for suspicious patterns. • generic web: Examine application logs for errors related to IPC communication or unexpected data received from the renderer process. Look for unusual patterns in network traffic associated with the Electron application.

攻击时间线

2026-04-03Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.01% (3% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件electron

供应商osv

影响范围修复版本

< 38.8.6 – < 38.8.638.8.7

>= 39.0.0-alpha.1, < 39.8.1 – >= 39.0.0-alpha.1, < 39.8.139.0.1

>= 40.0.0-alpha.1, < 40.8.1 – >= 40.0.0-alpha.1, < 40.8.140.0.1

>= 41.0.0-alpha.1, < 41.0.0 – >= 41.0.0-alpha.1, < 41.0.041.0.1

—38.8.6

弱点分类 (CWE)

CWE-290 CWE-345

时间线

已保留2026-03-30
发布日期2026-04-03
修改日期2026-04-06
EPSS 更新日期2026-04-11

缓解措施和替代方案

建议的解决方案是将 Electron 升级到 38.8.6 或更高版本。作为临时解决方法，请勿将 webContents.executeJavaScript() 的返回值用于安全敏感决策。考虑在主进程中实施额外的验证以验证接收到的数据的完整性。定期检查应用程序代码中任何可能存在漏洞的 webContents.executeJavaScript() 实例。升级到补丁版本是最有效的缓解措施，因为它解决了漏洞的根本原因。

修复方法翻译中…

Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.1 o 41.0.0 o superior.  Asegúrese de que las aplicaciones no tomen decisiones de seguridad basadas en los resultados de `webContents.executeJavaScript()` o `webFrameMain.executeJavaScript()` cuando se utilizan service workers.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34778 是什么 — electron 中的漏洞？