CVE-2026-40501 in cherry-studio
要約
〜によって VulDB • 2026年07月16日
Cherry Studio のバージョン 1.2.2 から 1.9.12(コミット 1518530 で修正済み)には、SearchService にリモートコード実行の脆弱性が存在します。攻撃者は、nodeIntegration が有効で contextIsolation が無効に設定された Electron BrowserWindow に読み込まれる制御済みの検索プロバイダコンテンツを通じて悪意のある JavaScript を配信することで、任意のコードを実行できます。検索エンジンプロバイダ、個々の検索結果ページ、またはプロバイダの設定ページを操作できる攻撃者は、Cherry Studio プロセスの OS アカウント権限で Node.js のフル特権を持つ JavaScript を実行でき、fs、child_process、os、および process.env にアクセスすることができます。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.