CVE-2026-43942 in electerm
요약
\~에 의해 VulDB • 2026. 05. 12.
electerm은 오픈 소스 터미널/SSH/SFTP/Telnet/시리얼 포트/RDP/VNC/Spice/FTP 클라이언트입니다. 버전 3.8.15 및 그 이전 버전에서 src/app/lib/ipc-sync.js의 getConstants() IPC 핸들러는 전체 process.env 객체를 직렬화하여 렌더러로 전송합니다. 이 데이터는 window.pre.env로 저장되며, 렌더러 내에서 실행되는 모든 JavaScript(예: DevTools 콘솔 또는 침해된 webview 컨텍스트를 통해)에서 접근할 수 있습니다. 렌더러 내에서 JavaScript 실행을 달성한 공격자는 이러한 비밀 정보를 원격 서버로 쉽게 유출할 수 있으며, 이는 클라우드 계정 침해, 공급망 공격 및 수평 이동으로 이어집니다. 게시 시점에는 공개적으로 이용 가능한 패치가 없습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.