CVE-2026-34777

Name of the Vulnerable Software and Affected Versions Electron versões anteriores a 38.8.6, 39.8.1, 40.8.1 e 41.0.0

Description Antes das versões 38.8.6, 39.8.1, 40.8.1 e 41.0.0, quando um iframe solicita permissões de tela cheia, pointerLock, keyboardLock, openExternal ou mídia, a origem passada para session.setPermissionRequestHandler() era a origem da página de nível superior, em vez da origem do iframe solicitante. Aplicativos que concedem permissões com base no parâmetro de origem ou webContents.getURL() podem conceder inadvertidamente permissões a conteúdo de terceiros incorporado. A URL de solicitação correta está disponível via details.requestingUrl. Aplicativos que já verificam details.requestingUrl não são afetados.

Recommendations Atualize para a versão 38.8.6 ou posterior do Electron. Atualize para a versão 39.8.1 ou posterior do Electron. Atualize para a versão 40.8.1 ou posterior do Electron. Atualize para a versão 41.0.0 ou posterior do Electron. Inspecione details.requestingUrl em vez do parâmetro de origem ou webContents.getURL() ao decidir se deve conceder permissões de tela cheia, pointerLock, keyboardLock, openExternal ou mídia.