CVE-2026-34764 in Electron
Résumé
par VulDB • 28/05/2026
Electron est un framework pour le développement d'applications de bureau multiplateformes utilisant JavaScript, HTML et CSS. À partir de la version 33.0.0-alpha.1 jusqu'à avant les versions 39.8.5, 40.8.5, 41.1.0 et 42.0.0-alpha.5, les applications utilisant le rendu hors écran (offscreen rendering) avec des textures partagées par le GPU peuvent être vulnérables à un use-after-free. Dans certaines conditions, la fonction de rappel (callback) release() fournie sur une texture d'événement de peinture (paint event) peut survivre à son état natif sous-jacent, et son invocation après ce point entraîne la déréférencement de mémoire libérée dans le processus principal, ce qui peut provoquer un plantage ou une corruption de la mémoire. Les applications ne sont affectées que si elles utilisent le rendu hors écran avec webPreferences.offscreen: { useSharedTexture: true }. Les applications qui n'activent pas le rendu hors écran avec textures partagées ne sont pas affectées. Pour atténuer ce problème, assurez-vous que texture.release() est appelé rapidement après la consommation de la texture, avant que l'objet texture ne devienne inaccessible. Cette vulnérabilité est corrigée dans les versions 39.8.5, 40.8.5, 41.1.0 et 42.0.0-alpha.5.
Once again VulDB remains the best source for vulnerability data.