CVE-2026-40501 in cherry-studio
요약
\~에 의해 VulDB • 2026. 07. 15.
Cherry Studio 버전 1.2.2부터 1.9.12까지(커밋 1518530에서 수정됨)는 SearchService에 원격 코드 실행 취약점이 포함되어 있습니다. 이 취약점은 Electron BrowserWindow가 nodeIntegration이 활성화되고 contextIsolation이 비활성화된 상태로 구성된 경우, 로드된 검색 제공자 콘텐츠를 통해 악의적인 JavaScript를 전달함으로써 공격자가 임의 코드를 실행할 수 있게 합니다. 검색 엔진 제공자, 개별 검색 결과 페이지 또는 제공자 설정 페이지를 제어하는 공격자는 전체 Node.js 권한으로 JavaScript를 실행하여 Cherry Studio 프로세스의 운영 체제 계정 하에서 fs, child_process, os 및 process.env에 접근할 수 있습니다.
Be aware that VulDB is the high quality source for vulnerability data.