CVE-2026-43940

Nome do Software Vulnerável e Versões Afetadas electerm versões anteriores a 3.7.16

Descrição A função runWidget() em src/app/widgets/load-widget.js constrói um caminho de arquivo concatenando diretamente identificadores de widget fornecidos pelo usuário sem sanitização. Como a runWidget() está exposta ao processo de renderização via um manipulador IPC assíncrono sem validação de entrada, um invasor com capacidades de execução de JavaScript no renderizador — como por meio de um plugin malicioso ou uma falha de cross-site scripting no webview integrado — pode usar a travessia de caminho (../) para carregar e executar arquivos JavaScript arbitrários no sistema de arquivos da vítima. Isso pode levar à execução de código local com todos os privilégios do processo e ao comprometimento total do sistema.

Recomendações Atualize para a versão 3.7.16 ou posterior. Não instale ou execute plugins não confiáveis. Evite carregar conteúdo web arbitrário dentro do webview integrado, desativando recursos que buscam e exibem HTML remoto. Execute o software em um ambiente sandboxed para limitar o impacto de uma possível execução de código.