平台
nodejs
组件
electron
修复版本
39.0.1
40.0.1
41.0.1
CVE-2026-34780是一个存在于electron中的上下文隔离绕过漏洞。该漏洞允许攻击者通过传递VideoFrame对象来绕过上下文隔离,从而访问隔离环境中的Node.js API,可能导致敏感信息泄露或恶意代码执行。受影响的版本包括electron 39.0.0-alpha.1到39.8.0。建议开发者避免在contextBridge中传递VideoFrame对象以缓解此漏洞。
CVE-2026-34780 影响 Electron,Electron 是一个用于使用 JavaScript、HTML 和 CSS 创建跨平台桌面应用程序的框架。在 39.0.0-alpha.1 之前的版本,以及低于 39.8.0、40.0.0-alpha.1 之前的版本,以及低于 40.7.0、41.0.0-alpha.1 之前的版本,以及低于 41.0.0-beta.8 的版本中,通过 contextBridge 传递 VideoFrame 对象(来自 WebCodecs API)时,存在上下文隔离绕过漏洞。如果攻击者可以在主世界执行 JavaScript(例如,通过 XSS),则可以使用桥接的 VideoFrame 来访问隔离的上下文,从而可能导致任意代码执行或访问敏感数据。
利用此漏洞需要攻击者能够在 Electron 应用程序的主上下文中执行 JavaScript。这可以通过应用程序中的跨站点脚本 (XSS) 漏洞或通过操纵易受攻击的组件来实现。一旦攻击者控制了主上下文中的 JavaScript,他们就可以创建一个恶意 VideoFrame 并通过 contextBridge 传递它,以绕过上下文隔离并在隔离的上下文中执行任意代码。
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
此漏洞的解决方案是更新到包含修复程序的 Electron 版本。受影响的版本是 39.8.0、40.7.0 和 41.0.0-beta.8 之前的版本。强烈建议更新到可用的最新稳定版本的 Electron。此外,请检查应用程序的代码,以确保通过 contextBridge 处理 VideoFrame 的安全性,并且没有在适当验证的情况下传递敏感数据。实施额外的安全控制措施,例如输入验证和数据清理,可以帮助降低风险。
Actualice a una versión de Electron que incluya la corrección, como 39.8.0, 40.7.0 o 41.0.0-beta.8. Asegúrese de que su preload script no esté exponiendo VideoFrame objects a través de contextBridge si no es absolutamente necesario. Revise su código para identificar y eliminar cualquier uso innecesario de VideoFrame objects en el contextoBridge.
漏洞分析和关键警报直接发送到您的邮箱。
contextBridge 是 Electron 的一项功能,允许 Web 应用程序安全地与 Node.js 主进程通信。
WebCodecs API 提供了一个接口,用于在浏览器中编码和解码媒体,例如视频和音频。
检查您使用的 Electron 版本。如果它早于 39.8.0、40.7.0 或 41.0.0-beta.8,则容易受到影响。
如果您无法立即更新,请考虑实施额外的缓解措施,例如输入验证和数据清理。
目前没有专门的工具来检测此漏洞,但建议进行彻底的代码审查。
CVSS 向量