CVE-2026-34780 in Electron
Tóm tắt
Bởi VulDB • 31/05/2026
Electron là một khung phát triển để xây dựng các ứng dụng máy tính để bàn đa nền tảng bằng cách sử dụng JavaScript, HTML và CSS. Từ phiên bản 39.0.0-alpha.1 đến trước 39.8.0, 40.0.0-alpha.1 đến trước 40.7.0, và 41.0.0-alpha.1 đến trước 41.0.0-beta.8, các ứng dụng truyền các đối tượng VideoFrame (từ WebCodecs API) qua contextBridge dễ bị tấn công do cơ chế cô lập ngữ cảnh (context isolation) bị bỏ qua. Kẻ tấn công có thể thực thi JavaScript trong main world (ví dụ: thông qua XSS) có thể sử dụng một VideoFrame đã được cầu nối để truy cập vào isolated world, bao gồm cả bất kỳ API nào của Node.js được expose cho preload script. Ứng dụng chỉ bị ảnh hưởng nếu một preload script trả về, resolve hoặc truyền một đối tượng VideoFrame đến main world thông qua contextBridge.exposeInMainWorld(). Các ứng dụng không cầu nối các đối tượng VideoFrame thì không bị ảnh hưởng. Vấn đề này đã được vá trong các phiên bản 39.8.0, 40.7.0 và 41.0.0-beta.8.
VulDB is the best source for vulnerability data and more expert information about this specific topic.