PT-2026-30001 · Electron · Electron

Publicado

2026-04-03

·

Atualizado

2026-04-04

·

CVE-2026-34771

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Name of the Vulnerable Software and Affected Versions Electron versões anteriores a 38.8.6, 39.8.0, 40.7.0 e 41.0.0-beta.8
Description Aplicações que utilizam um session.setPermissionRequestHandler() assíncrono podem apresentar um problema de use-after-free ao lidar com solicitações de permissão de tela cheia, bloqueio de ponteiro ou bloqueio de teclado. Se o frame solicitante navegar ou a janela for fechada enquanto o handler de permissão estiver pendente, a invocação do callback armazenado pode dereferenciar memória liberada, potencialmente levando a uma falha ou corrupção de memória. Aplicações que não usam um handler de solicitação de permissão, ou que respondem de forma síncrona, não são afetadas.
Recommendations Versões anteriores a 38.8.6: Atualize para a versão 38.8.6 ou posterior. Versões anteriores a 39.8.0: Atualize para a versão 39.8.0 ou posterior. Versões anteriores a 40.7.0: Atualize para a versão 40.7.0 ou posterior. Versões anteriores a 41.0.0-beta.8: Atualize para a versão 41.0.0-beta.8 ou posterior. Como alternativa, responda às solicitações de permissão de forma síncrona ou negue solicitações de tela cheia, bloqueio de ponteiro e bloqueio de teclado se um fluxo assíncrono for necessário.

Exploit

Correção

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-34771
GHSA-8337-3P73-46F4

Produtos afetados

Electron