PT-2026-60237 · Unknown · Cherry-Studio

Hanyin

·

Publicado

2026-07-15

·

Atualizado

2026-07-15

·

CVE-2026-40501

CVSS v3.1

8.8

Alta

VetorAV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Cherry Studio versões 1.2.2 through 1.9.12
Description Um problema de execução remota de código existe no SearchService. Atacantes remotos podem executar código arbitrário ao entregar JavaScript malicioso por meio de conteúdo de provedor de pesquisa controlado. Isso ocorre quando o conteúdo é carregado em um Electron BrowserWindow configurado com nodeIntegration habilitado e contextIsolation desabilitado. Atacantes que controlam um provedor de mecanismo de pesquisa, páginas de resultados de pesquisa individuais ou páginas de configurações do provedor podem executar JavaScript com privilégios totais do Node.js, obtendo acesso a fs, child process, os e process.env sob a conta do sistema operacional do processo Cherry Studio.
Recommendations Atualize o Cherry Studio versões 1.2.2 through 1.9.12 para a versão que contém o commit 1518530.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-40501

Produtos afetados

Cherry-Studio