CVE-2026-40501 in cherry-studioالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تحتوي إصدارات Cherry Studio من 1.2.2 حتى 1.9.12، والمُصححة في الالتزام (commit) رقم 1518530، على ثغرة تنفيذ كود عن بُعد في SearchService تتيح للمهاجمين عن بُعد تنفيذ أي كود عشوائي عبر تسليم شفرة JavaScript خبيثة من خلال محتوى مزوّد البحث الخاضع للتحكم والمحمّل داخل نافذة متصفح Electron (BrowserWindow) مُهيّأة بتمكين nodeIntegration وتعطيل contextIsolation. يمكن لمزوِّدي محركات البحث الذين يتحكمون في صفحات نتائج بحث فردية أو إعدادات المزوّدين تنفيذ شفرة JavaScript بصلاحيات Node.js الكاملة، مما يمنحهم الوصول إلى وحدات fs وchild_process وos وprocess.env تحت حساب نظام التشغيل الخاص بعملية Cherry Studio.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

VulnCheck

حجز

13/04/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379350

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!