UNKNOWNCVE-2026-34769
CVE-2026-34769:electron命令行注入漏洞,高危风险!
平台
nodejs
组件
electron
CVE-2026-34769是electron中的一个命令行注入漏洞。未公开的`commandLineSwitches` webPreference允许将任意开关附加到渲染器进程命令行。如果应用通过展开不可信的配置对象来构建`webPreferences`,攻击者可能注入开关来禁用渲染器沙箱或Web安全控制。受影响的版本包括electron ≤38.8.6。建议不要将不可信的输入展开到`webPreferences`中。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34769是什么漏洞?
CVE-2026-34769是electron中的一个命令行注入漏洞,允许攻击者禁用渲染器沙箱或Web安全控制。
我是否受到CVE-2026-34769的影响?
如果您的electron应用使用了小于等于38.8.6的版本,并且从外部或不可信的输入构建`webPreferences`,那么您可能会受到影响。
如何修复或缓解CVE-2026-34769?
避免将不可信的输入展开到`webPreferences`中可以缓解此漏洞。升级到不受影响的electron版本是最佳解决方案。目前没有官方补丁可用。