CVE-2026-34778

Name of the Vulnerable Software and Affected Versions Electron versões anteriores a 38.8.6, 39.8.1, 40.8.1 e 41.0.0

Description Electron é um framework usado para construir aplicações desktop multiplataforma com JavaScript, HTML e CSS. Um service worker poderia potencialmente manipular respostas no canal IPC interno usado por webContents.executeJavaScript() e métodos similares. Isso poderia levar ao processo principal receber dados controlados por um atacante. Aplicações que utilizam service workers e dependem do resultado de webContents.executeJavaScript() ou webFrameMain.executeJavaScript() para operações críticas de segurança são suscetíveis. A função webContents.executeJavaScript() é usada para executar código JavaScript em uma página web. A vulnerabilidade envolve a falsificação de mensagens de resposta no canal IPC interno, o que poderia permitir que um atacante controle os dados retornados ao processo principal.

Recommendations Versões anteriores a 38.8.6 devem ser atualizadas para a versão 38.8.6 ou posterior. Versões anteriores a 39.8.1 devem ser atualizadas para a versão 39.8.1 ou posterior. Versões anteriores a 40.8.1 devem ser atualizadas para a versão 40.8.1 ou posterior. Versões anteriores a 41.0.0 devem ser atualizadas para a versão 41.0.0 ou posterior. Não confie no valor de retorno de webContents.executeJavaScript() para decisões de segurança. Utilize canais IPC dedicados e validados para comunicação segura com renderers.