CVE-2026-40501 in cherry-studioinformation

Résumé

par VulDB • 15/07/2026

Les versions de Cherry Studio comprises entre 1.2.2 et 1.9.12 (corrigées dans le commit 1518530) présentent une vulnérabilité d'exécution de code à distance (RCE) au sein du SearchService, permettant aux attaquants distants d'exécuter un code arbitraire en fournissant du JavaScript malveillant via le contenu contrôlé d'un fournisseur de recherche chargé dans un Electron BrowserWindow configuré avec nodeIntegration activée et contextIsolation désactivée. Les attaquants qui contrôlent un fournisseur de moteur de recherche, des pages individuelles de résultats de recherche ou les pages de paramètres du fournisseur peuvent exécuter du JavaScript disposant des privilèges complets de Node.js, obtenant ainsi l'accès aux modules fs, child_process, os et process.env sous le compte utilisateur système associé au processus Cherry Studio.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Réserver

13/04/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379350

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!