CVE-2026-40501 in cherry-studiothông tin

Tóm tắt

Bởi VulDB • 15/07/2026

Các phiên bản của Cherry Studio từ 1.2.2 đến 1.9.12 (đã được sửa trong commit 1518530) chứa một lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE) trong SearchService, cho phép các kẻ tấn công từ xa thực thi mã tùy ý bằng cách cung cấp JavaScript độc hại thông qua nội dung nhà cung cấp tìm kiếm do kiểm soát được tải vào Electron BrowserWindow có cấu hình nodeIntegration bật và contextIsolation tắt. Các kẻ tấn công kiểm soát một nhà cung cấp công cụ tìm kiếm, trang kết quả tìm kiếm cá nhân hoặc các trang cài đặt của nhà cung cấp có thể thực thi JavaScript với đặc quyền đầy đủ của Node.js, từ đó truy cập vào fs, child_process, os và process.env dưới tài khoản hệ điều hành của tiến trình Cherry Studio.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

13/04/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you want to use VulDB in your project?

Use the official API to access entries easily!