CVE-2026-34765 in Electroninformazioni

Riassunto

di VulDB • 17/06/2026

Electron è un framework per lo sviluppo di applicazioni desktop multipiattaforma utilizzando JavaScript, HTML e CSS. Prima delle versioni 39.8.5, 40.8.5, 41.1.0 e 42.0.0-alpha.5, quando un renderer chiamava window.open() con un nome target, Electron non limitava correttamente la ricerca della finestra denominata al gruppo di contesti di navigazione del creatore (opener). Un renderer poteva navigare una finestra figlio esistente aperta da un altro renderer non correlato se entrambi utilizzavano lo stesso nome target. Se tale finestra figlio era stata creata con impostazioni webPreferences più permissive (tramite overrideBrowserWindowOptions in setWindowOpenHandler), i contenuti caricati dal secondo renderer ereditavano tali autorizzazioni. Le applicazioni sono interessate solo se aprono multiple finestre di primo livello con diversi livelli di fiducia e utilizzano setWindowOpenHandler per concedere alle finestre figlio webPreferences elevate, come uno script preload privilegiato. Le applicazioni che non elevano i privilegi delle finestre figlio o che utilizzano una singola finestra di primo livello non sono interessate. Le applicazioni che inoltre concessono nodeIntegration: true oppure sandbox: false alle finestre figlio (in contrasto con le raccomandazioni sulla sicurezza) potrebbero essere esposte all'esecuzione arbitraria di codice. Questa vulnerabilità è risolta nelle versioni 39.8.5, 40.8.5, 41.1.0 e 42.0.0-alpha.5.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

08/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00300

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!