CVE-2026-40501 in cherry-studio
الملخص
بحسب VulDB • 16/07/2026
تحتوي إصدارات Cherry Studio من 1.2.2 حتى 1.9.12، والمُصححة في الالتزام (commit) رقم 1518530، على ثغرة تنفيذ كود عن بُعد في SearchService تتيح للمهاجمين عن بُعد تنفيذ أي كود عشوائي عبر تسليم شفرة JavaScript خبيثة من خلال محتوى مزوّد البحث الخاضع للتحكم والمحمّل داخل نافذة متصفح Electron (BrowserWindow) مُهيّأة بتمكين nodeIntegration وتعطيل contextIsolation. يمكن لمزوِّدي محركات البحث الذين يتحكمون في صفحات نتائج بحث فردية أو إعدادات المزوّدين تنفيذ شفرة JavaScript بصلاحيات Node.js الكاملة، مما يمنحهم الوصول إلى وحدات fs وchild_process وos وprocess.env تحت حساب نظام التشغيل الخاص بعملية Cherry Studio.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.