UNKNOWNCVE-2026-34778
CVE-2026-34778:electron 服务worker欺骗漏洞,中危
平台
nodejs
组件
electron
CVE-2026-34778是electron中的一个欺骗漏洞。在会话中运行的服务worker可以欺骗`webContents.executeJavaScript()`和相关方法使用的内部IPC通道上的回复消息,导致主进程promise解析为攻击者控制的数据。受影响的版本包括electron ≤38.8.6。只有注册了服务worker并且在安全敏感的决策中使用`webContents.executeJavaScript()`结果的应用才会受到影响。建议不要信任`webContents.executeJavaScript()`的返回值。
修复方法
暂无官方补丁。请查找临时解决方案或持续关注更新。
常见问题
CVE-2026-34778是什么漏洞?
CVE-2026-34778是electron中的一个欺骗漏洞,允许服务worker欺骗`webContents.executeJavaScript()`的结果。
我是否受到CVE-2026-34778的影响?
如果您的electron应用使用了小于等于38.8.6的版本,并且注册了服务worker,并在安全敏感的决策中使用`webContents.executeJavaScript()`的结果,那么您可能会受到影响。
如何修复或缓解CVE-2026-34778?
不要信任`webContents.executeJavaScript()`的返回值,使用专用的、经过验证的IPC通道进行安全相关的决策可以缓解此漏洞。升级到不受影响的electron版本是最佳解决方案。目前没有官方补丁可用。