LOWCVE-2026-34781CVSS 2.8

Electron: clipboard.readImage() 在格式错误的剪贴板图像数据上崩溃

Q: CVE-2026-34781 是什么 — electron 中的 Denial of Service (DoS)？

仅使用 `clipboard.readImage()` 函数的 Electron 应用程序受到影响。

Q: electron 中的 CVE-2026-34781 是否会影响我？

是的，通过在将其使用之前验证图像数据即可避免此漏洞。

Q: 如何修复 electron 中的 CVE-2026-34781？

不，它仅会导致拒绝服务。

Q: CVE-2026-34781 是否正在被积极利用？

实施图像数据的强大验证至关重要。

Q: 在哪里可以找到 electron 关于 CVE-2026-34781 的官方安全通告？

请参阅 Electron 的官方文档和安全公告。

平台

nodejs

组件

electron

修复版本

39.8.6

40.0.1

41.0.1

42.0.1

39.8.5

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

CVE-2026-34781 是一个Electron应用程序中的拒绝服务漏洞，当应用程序调用clipboard.readImage()函数读取系统剪贴板中的图像数据时，如果剪贴板中的图像数据无法正确解码，则可能导致应用程序崩溃。此漏洞不会导致内存损坏或代码执行，仅影响调用clipboard.readImage()的应用程序。受影响的版本包括Electron 39.8.5之前的版本，建议升级到39.8.5以修复此问题。

影响与攻击场景

Electron 中的 CVE-2026-34781 影响使用 clipboard.readImage() 函数的应用程序。如果系统剪贴板包含无法正确解码的图像数据，则进程可能会以受控方式崩溃，导致拒绝服务。这是因为未验证的空位图传递给图像构造。需要注意的是，此漏洞不允许内存损坏或代码执行；它仅限于拒绝服务条件。

利用背景

攻击者可能会尝试通过创建恶意图像并将图像放置在系统剪贴板中来利用此漏洞。当易受攻击的应用程序使用 clipboard.readImage() 尝试读取此图像时，解码失败可能会导致崩溃。利用此漏洞的难度在于需要控制系统剪贴板的内容，这在某些环境中可能具有挑战性。但是，在攻击者能够影响剪贴板内容的环境中，风险很高。

哪些人处于风险中翻译中…

Applications built with Electron that utilize the clipboard.readImage() function are at risk. This includes a wide range of desktop applications, including those used for image editing, document processing, and communication. Shared hosting environments where multiple Electron applications are deployed on the same server could also be affected, as a malicious image placed in the clipboard by one application could impact others.

检测步骤翻译中…

• nodejs / supply-chain: Monitor Electron application processes for unexpected crashes or terminations, particularly after clipboard interactions. Use process monitoring tools to identify abnormal resource consumption or error logs related to image decoding. • generic web: Examine application logs for error messages related to image decoding or clipboard access. Look for patterns indicating failed image processing. • linux / server: Use lsof to monitor file descriptors associated with Electron processes. Unexpected file descriptor activity related to image files could indicate exploitation attempts.

攻击时间线

2026-04-07Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露低

报告1 份威胁报告

EPSS

0.01% (3% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响partial

受影响的软件

组件electron

供应商osv

影响范围修复版本

< 39.8.5 – < 39.8.539.8.6

>= 40.0.0-alpha.1, < 40.8.5 – >= 40.0.0-alpha.1, < 40.8.540.0.1

>= 41.0.0-alpha.1, < 41.1.0 – >= 41.0.0-alpha.1, < 41.1.041.0.1

>= 42.0.0-alpha.1, < 42.0.0-alpha.5 – >= 42.0.0-alpha.1, < 42.0.0-alpha.542.0.1

—39.8.5

弱点分类 (CWE)

CWE-476

时间线

已保留2026-03-30
发布日期2026-04-07
修改日期2026-04-08
EPSS 更新日期2026-04-15

缓解措施和替代方案

建议的解决方案是将 Electron 更新到 39.8.5 或更高版本。作为临时解决方法，在尝试构建图像之前，请验证图像数据。这包括在将其传递给构造函数之前，验证图像是否已正确解码。验证可以包括检查文件类型、大小和图像数据的完整性。如果无法立即更新，则实施强大的验证对于降低风险至关重要。

修复方法翻译中…

Actualice Electron a la versión 39.8.5, 40.8.5, 41.1.0 o 42.0.0-alpha.5 o superior para mitigar la vulnerabilidad.  Esta actualización corrige el problema al validar correctamente los datos de la imagen del portapapeles, evitando el fallo de la aplicación cuando se encuentra con datos malformados.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-34781 是什么 — electron 中的 Denial of Service (DoS)？

仅使用 clipboard.readImage() 函数的 Electron 应用程序受到影响。

electron 中的 CVE-2026-34781 是否会影响我？