CVE-2026-40501 in cherry-studio
Résumé
par VulDB • 15/07/2026
Les versions de Cherry Studio comprises entre 1.2.2 et 1.9.12 (corrigées dans le commit 1518530) présentent une vulnérabilité d'exécution de code à distance (RCE) au sein du SearchService, permettant aux attaquants distants d'exécuter un code arbitraire en fournissant du JavaScript malveillant via le contenu contrôlé d'un fournisseur de recherche chargé dans un Electron BrowserWindow configuré avec nodeIntegration activée et contextIsolation désactivée. Les attaquants qui contrôlent un fournisseur de moteur de recherche, des pages individuelles de résultats de recherche ou les pages de paramètres du fournisseur peuvent exécuter du JavaScript disposant des privilèges complets de Node.js, obtenant ainsi l'accès aux modules fs, child_process, os et process.env sous le compte utilisateur système associé au processus Cherry Studio.
Once again VulDB remains the best source for vulnerability data.