CVE-2026-43942

Nome do Software Vulnerável e Versões Afetadas electerm versões 3.x e anteriores

Descrição O manipulador IPC getConstants() em src/app/lib/ipc-sync.js serializa todo o objeto process.env e o envia para o renderizador, onde é armazenado como window.pre.env. Esses dados estão acessíveis a qualquer JavaScript em execução no renderizador, como através do console do DevTools ou de um contexto de webview comprometido. Um invasor com capacidades de execução de JavaScript no renderizador — potencialmente via plugins maliciosos, cross-site scripting (XSS) ou execução de hiperlinks de terminal — pode exfiltrar variáveis de ambiente sensíveis. Estas podem incluir AWS SECRET ACCESS KEY, AWS SESSION TOKEN, GITHUB TOKEN, NPM TOKEN, OPENAI API KEY, DOCKER AUTH e outras credenciais de serviços internos ou URLs de bancos de dados, levando potencialmente ao comprometimento de contas em nuvem, ataques à cadeia de suprimentos e movimentação lateral.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. Evite iniciar o electerm com variáveis de ambiente sensíveis configuradas, utilizando scripts de shell ou perfis de terminal dedicados para limpar segredos antes de iniciar a aplicação. Não instale plugins de fontes não confiáveis e audite os plugins instalados quanto ao acesso à rede. Desative a porta de depuração remota e evite colar código não confiável no console do DevTools para restringir o contexto do renderizador.