CVE-2026-40501 in cherry-studioИнформация

Сводка

по VulDB • 15.07.2026

В версиях Cherry Studio от 1.2.2 до 1.9.12 (исправлено в коммите 1518530) уязвимость удаленного выполнения кода (RCE) в SearchService позволяет удаленным злоумышленникам выполнять произвольный код путем доставки вредоносного JavaScript через контролируемый контент поставщика поиска, загружаемый в Electron BrowserWindow с включенной опцией nodeIntegration и отключенной contextIsolation. Злоумышленники, контролирующие провайдера поисковой системы, отдельные страницы результатов поиска или страницы настроек провайдера, могут выполнять JavaScript с полными привилегиями Node.js, получая доступ к fs, child_process, os и process.env от имени учетной записи операционной системы процесса Cherry Studio.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

VulnCheck

Резервировать

13.04.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379350

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!