PT-2026-29999 · Electron · Electron

Publicado

2026-04-03

·

Atualizado

2026-06-01

·

CVE-2026-34769

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Name of the Vulnerable Software and Affected Versions Electron versões anteriores a 38.8.6, anteriores a 39.8.0, anteriores a 40.7.0 e anteriores a 41.0.0-beta.8.
Description Uma commandLineSwitches webPreference não documentada permitia que switches arbitrários fossem anexados à linha de comando do processo de renderização. Aplicativos que constroem webPreferences espalhando objetos de configuração não confiáveis podem inadvertidamente permitir que um invasor injete switches que desabilitem o sandbox do renderizador ou controles de segurança da web. Os aplicativos são afetados apenas se construírem webPreferences a partir de entrada externa ou não confiável sem uma lista de permissões. Aplicativos que usam um objeto webPreferences fixo e codificado não são afetados.
Recommendations Não espalhe entrada não confiável em webPreferences. Use uma lista de permissões explícita de chaves de preferência permitidas ao construir opções BrowserWindow ou webContents de configurações externas.

Exploit

Correção

Argument Injection

Hidden Functionality

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-34769
GHSA-9WFR-W7MM-PC7F

Produtos afetados

Electron