CVE-2026-40501 in cherry-studio
Sumário
de VulDB • 15/07/2026
As versões do Cherry Studio de 1.2.2 a 1.9.12, corrigidas no commit 1518530, contêm uma vulnerabilidade de execução remota de código (RCE) no SearchService que permite que atacantes remotos executem código arbitrário ao entregar JavaScript malicioso por meio do conteúdo controlado de um provedor de pesquisa carregado em um Electron BrowserWindow configurado com nodeIntegration habilitada e contextIsolation desabilitada. Atacantes que controlam um provedor de mecanismo de busca, páginas individuais de resultados de pesquisa ou páginas de configurações do provedor podem executar JavaScript com plenos privilégios do Node.js, obtendo acesso a fs, child_process, os e process.env sob a conta do sistema operacional do processo Cherry Studio.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.