CVE-2026-40501 in cherry-studio
Сводка
по VulDB • 15.07.2026
В версиях Cherry Studio от 1.2.2 до 1.9.12 (исправлено в коммите 1518530) уязвимость удаленного выполнения кода (RCE) в SearchService позволяет удаленным злоумышленникам выполнять произвольный код путем доставки вредоносного JavaScript через контролируемый контент поставщика поиска, загружаемый в Electron BrowserWindow с включенной опцией nodeIntegration и отключенной contextIsolation. Злоумышленники, контролирующие провайдера поисковой системы, отдельные страницы результатов поиска или страницы настроек провайдера, могут выполнять JavaScript с полными привилегиями Node.js, получая доступ к fs, child_process, os и process.env от имени учетной записи операционной системы процесса Cherry Studio.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.