PT-2026-29999 · Electron · Electron
Publicado
2026-04-03
·
Atualizado
2026-06-01
·
CVE-2026-34769
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Electron versões anteriores a 38.8.6, anteriores a 39.8.0, anteriores a 40.7.0 e anteriores a 41.0.0-beta.8.
Description
Uma
commandLineSwitches webPreference não documentada permitia que switches arbitrários fossem anexados à linha de comando do processo de renderização. Aplicativos que constroem webPreferences espalhando objetos de configuração não confiáveis podem inadvertidamente permitir que um invasor injete switches que desabilitem o sandbox do renderizador ou controles de segurança da web. Os aplicativos são afetados apenas se construírem webPreferences a partir de entrada externa ou não confiável sem uma lista de permissões. Aplicativos que usam um objeto webPreferences fixo e codificado não são afetados.Recommendations
Não espalhe entrada não confiável em
webPreferences. Use uma lista de permissões explícita de chaves de preferência permitidas ao construir opções BrowserWindow ou webContents de configurações externas.Exploit
Correção
Argument Injection
Hidden Functionality
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Electron