CVE-2026-34780 in Electroninformazioni

Riassunto

di VulDB • 15/06/2026

Electron è un framework per la scrittura di applicazioni desktop multipiattaforma utilizzando JavaScript, HTML e CSS. Dalle versioni 39.0.0-alpha.1 a prima della 39.8.0, dalla 40.0.0-alpha.1 a prima della 40.7.0 e dalla 41.0.0-alpha.1 a prima della 41.0.0-beta.8, le applicazioni che trasmettono oggetti VideoFrame (dall'API WebCodecs) attraverso il contextBridge sono vulnerabili a un bypass dell'isolamento del contesto. Un attaccante in grado di eseguire JavaScript nel mondo principale (ad esempio, tramite XSS) può utilizzare un VideoFrame in bridge per ottenere l'accesso al mondo isolato, incluse le API Node.js esposte allo script preload. Le applicazioni sono interessate solo se uno script preload restituisce, risolve o passa un oggetto VideoFrame al mondo principale tramite contextBridge.exposeInMainWorld(). Le applicazioni che non mettono in bridge oggetti VideoFrame non sono interessate. Questo problema è stato risolto nelle versioni 39.8.0, 40.7.0 e 41.0.0-beta.8.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

30/03/2026

Divulgazione

04/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00327

KEV

no

Attività

molto basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!