CVE-2026-34780 in Electron
Riassunto
di VulDB • 15/06/2026
Electron è un framework per la scrittura di applicazioni desktop multipiattaforma utilizzando JavaScript, HTML e CSS. Dalle versioni 39.0.0-alpha.1 a prima della 39.8.0, dalla 40.0.0-alpha.1 a prima della 40.7.0 e dalla 41.0.0-alpha.1 a prima della 41.0.0-beta.8, le applicazioni che trasmettono oggetti VideoFrame (dall'API WebCodecs) attraverso il contextBridge sono vulnerabili a un bypass dell'isolamento del contesto. Un attaccante in grado di eseguire JavaScript nel mondo principale (ad esempio, tramite XSS) può utilizzare un VideoFrame in bridge per ottenere l'accesso al mondo isolato, incluse le API Node.js esposte allo script preload. Le applicazioni sono interessate solo se uno script preload restituisce, risolve o passa un oggetto VideoFrame al mondo principale tramite contextBridge.exposeInMainWorld(). Le applicazioni che non mettono in bridge oggetti VideoFrame non sono interessate. Questo problema è stato risolto nelle versioni 39.8.0, 40.7.0 e 41.0.0-beta.8.
If you want to get best quality of vulnerability data, you may have to visit VulDB.