PT-2026-60237 · Unknown · Cherry-Studio
Hanyin
·
Publicado
2026-07-15
·
Atualizado
2026-07-15
·
CVE-2026-40501
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Cherry Studio versões 1.2.2 through 1.9.12
Description
Um problema de execução remota de código existe no SearchService. Atacantes remotos podem executar código arbitrário ao entregar JavaScript malicioso por meio de conteúdo de provedor de pesquisa controlado. Isso ocorre quando o conteúdo é carregado em um Electron BrowserWindow configurado com
nodeIntegration habilitado e contextIsolation desabilitado. Atacantes que controlam um provedor de mecanismo de pesquisa, páginas de resultados de pesquisa individuais ou páginas de configurações do provedor podem executar JavaScript com privilégios totais do Node.js, obtendo acesso a fs, child process, os e process.env sob a conta do sistema operacional do processo Cherry Studio.Recommendations
Atualize o Cherry Studio versões 1.2.2 through 1.9.12 para a versão que contém o commit 1518530.
Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cherry-Studio