PT-2026-30001 · Electron · Electron
Publicado
2026-04-03
·
Atualizado
2026-04-04
·
CVE-2026-34771
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Name of the Vulnerable Software and Affected Versions
Electron versões anteriores a 38.8.6, 39.8.0, 40.7.0 e 41.0.0-beta.8
Description
Aplicações que utilizam um
session.setPermissionRequestHandler() assíncrono podem apresentar um problema de use-after-free ao lidar com solicitações de permissão de tela cheia, bloqueio de ponteiro ou bloqueio de teclado. Se o frame solicitante navegar ou a janela for fechada enquanto o handler de permissão estiver pendente, a invocação do callback armazenado pode dereferenciar memória liberada, potencialmente levando a uma falha ou corrupção de memória. Aplicações que não usam um handler de solicitação de permissão, ou que respondem de forma síncrona, não são afetadas.Recommendations
Versões anteriores a 38.8.6: Atualize para a versão 38.8.6 ou posterior.
Versões anteriores a 39.8.0: Atualize para a versão 39.8.0 ou posterior.
Versões anteriores a 40.7.0: Atualize para a versão 40.7.0 ou posterior.
Versões anteriores a 41.0.0-beta.8: Atualize para a versão 41.0.0-beta.8 ou posterior.
Como alternativa, responda às solicitações de permissão de forma síncrona ou negue solicitações de tela cheia, bloqueio de ponteiro e bloqueio de teclado se um fluxo assíncrono for necessário.
Exploit
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Electron