Electron
Уязвимости
42
Эксплуатируемые
0
Макс. CVSS
9.9
Макс. EPSS
0.10427
Распределение по критичности
Критический
6
Высокий
19
Средний
16
Низкий
1
Затронутые диапазоны версий
1.7.0–1.7.1210.1.0–11.5.030.0.0-alpha.1–30.0.533.0.0–39.8.539.0.0–39.8.07.0.0–7.2.48.0.0–8.5.19.0.0–9.4.0< 1.7.8< 13.6.6< 15.5.0< 15.5.5< 18.3.7< 22.3.6< 22.3.9< 28.3.2< 35.7.5< 38.8.6< 39.8.1< 6.1.1≤ 1.8.1≤ 1.8.2≤ 22.3.24≤ 39.8.4
Также сопоставлено как (исходные строки): electron
Топ уязвимостей
CVE-2020-4077В Electron до версий 7.2.4, 8.2.4 и 9.0.0-beta21 существует обход изоляции контекста. Код, работающий в основном мировом контексте в рендерере, может проникнуть в изолированный контекст Electron и выполнить привилегированные действия. Это затрагивает приложения, использующие как `contextIsolation`, так и `contextBridge`. Это исправлено в версиях 9.0.0-beta.21, 8.2.4 и 7.2.4.
CVE-2026-34775Electron - это фреймворк для написания кроссплатформированных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.4, 40.8.4 и 41.0.0, nodeIntegrationInWorker WebPreference не был правильно оформлен во всех конфигурациях. В некоторых сценариях обмена процессами работники, порожденные в кадрах, настроенных с nodeIntegrationInWorker: falses все еще может принимать интеграцию Node.js. Приложения затрагиваются только в том случае, если они позволяют nodeIntegrationInWorker. Приложения, которые не используют nodeIntegrationInWorker, не затрагиваются. Эта проблема была исправлена в версиях 38.8.6, 39.8.4, 40.8.4 и 41.0.0.
CVE-2023-23623Electron — это фреймворк, который позволяет писать кроссплатформенные настольные приложения с использованием JavaScript, HTML и CSS. Политика Content-Security-Policy, отключающая eval, в частности, устанавливающая директиву `script-src` и _не_ предоставляющая `unsafe-eval` в этой директиве, не соблюдается в рендерерах с отключенной песочницей. Т. е. `sandbox: false` в объекте `webPreferences`. Это позволяет неожиданно использовать такие методы, как `eval()` и `new Function`, что может привести к расширению поверхности атаки. Эта проблема затрагивала только 22 и 23 основные версии Electron и была исправлена в последних версиях этих линий выпуска. В частности, эти версии содержат исправления: 22.0.1 и 23.0.0-alpha.2. Мы рекомендуем всем приложениям обновиться до последней стабильной версии Electron. Если обновление невозможно, эту проблему можно решить без обновления, включив `sandbox: true` во всех рендерерах.
CVE-2022-29247Electron — это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript (JS), HTML и CSS. Уязвимость в версиях до 18.0.0-beta.6, 17.2.0, 16.2.6 и 15.5.5 позволяет рендереру с выполнением JS получить доступ к новому процессу рендеринга с включенным `nodeIntegrationInSubFrames`, что, в свою очередь, обеспечивает эффективный доступ к `ipcRenderer`. Параметр `nodeIntegrationInSubFrames` не предоставляет неявно доступ к Node.js. Скорее, это зависит от существующих настроек песочницы. Если приложение находится в песочнице, то `nodeIntegrationInSubFrames` просто предоставляет доступ к API рендеринга в песочнице, которые включают `ipcRenderer`. Если приложение дополнительно предоставляет сообщения IPC без проверки IPC `senderFrame`, которые выполняют привилегированные действия или возвращают конфиденциальные данные, этот доступ к `ipcRenderer` может, в свою очередь, скомпрометировать ваше приложение/пользователя даже при включенной песочнице. Electron версий 18.0.0-beta.6, 17.2.0, 16.2.6 и 15.5.5 содержит исправление этой проблемы. В качестве обходного пути убедитесь, что все обработчики сообщений IPC надлежащим образом проверяют `senderFrame`.
CVE-2017-16151Основываясь на информации, опубликованной командой ElectronJS; В Google Chromium была обнаружена уязвимость удаленного выполнения кода, которая затрагивает все последние версии Electron. Любое приложение Electron, которое получает доступ к удаленному контенту, уязвимо для этого эксплойта, независимо от того, включена ли [опция песочницы](https://electron.atom.io/docs/api/sandbox-option).
CVE-2020-4076В Electron до версий 7.2.4, 8.2.4 и 9.0.0-beta21 существует обход изоляции контекста. Код, работающий в основном мировом контексте в рендерере, может проникнуть в изолированный контекст Electron и выполнить привилегированные действия. Это затрагивает приложения, использующие contextIsolation. Это исправлено в версиях 9.0.0-beta.21, 8.2.4 и 7.2.4.
CVE-2026-34772Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.0, 40.7.0 и 41.0.0-beta.8 приложения, которые позволяют загружать и программно уничтожать сеансы, могут быть уязвимы для использования без использования. Если сеанс срывает, в то время как диалог с внутренним файлом сохранения открыт для загрузки, отклонение деформации о выделении памяти, что может привести к сбою или повреждению памяти. Приложения, которые не уничтожают сеансы во время выполнения или которые не разрешают загрузки, не затрагиваются. Эта проблема была исправлена в версиях 38.8.6, 39.8.0, 40.7.0 и 41.0.0-beta.8.
CVE-2026-34771Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.0, 40.7.0 и 41.0.0-beta.8 приложения, которые регистрируют асинхронный сеанс.setPermissionRequestHandler() могут быть уязвимы для использования после-бесплатно при обработке запросов на разрешение полного экрана, блокировки указателей или блокировки клавиатуры. Если запрашивающая рама перемещается или окно закрывается, пока обработчик разрешения находится на рассмотрении, ссылка на сохраненный отзыв отзыва дает свободную память, что может привести к сбою или повреждению памяти. Приложения, которые не устанавливают обработчик запроса на разрешение или чей обработчик реагирует синхронно, не затрагиваются. Эта проблема была исправлена в версиях 38.8.6, 39.8.0, 40.7.0 и 41.0.0-beta.8.
CVE-2026-34770Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.1, 40.8.0 и 41.0.0-beta.8 приложения, использующие модуль powerMonitor, могут быть уязвимы для использования после-бесплатно. После того, как собственный объект PowerMonitor будет собирать мусор, связанные ресурсы уровня ОС (окно сообщений в Windows, обработчик выключения на macOS) сохраняют болтаемые ссылки. Последующее событие смены сеанса (Windows) или отключения системы (macOS) отклоняет освобожденную память, что может привести к сбою или повреждению памяти. Все приложения, которые получают доступ к событиям powerMonitor (приостановка, резюме, экран блокировки и т. Д.), Потенциально затронуты. Проблема не является непосредственно рендеринг-контролируемой. Эта проблема была исправлена в версиях 38.8.6, 39.8.1, 40.8.0 и 41.0.0-beta.8.
CVE-2026-34769Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.0, 40.7.0 и 41.0.0-beta.8, незадокументированный командный коммутатор веб-Пражежник позволил прибавляться произвольные переключатели к командной строке процесса рендерера. Приложения, которые создают веб-предпочтения путем распространения ненадежных объектов конфигурации, могут непреднамеренно позволить злоумышленнику вводить переключатели, которые отключают песочницу рендерера или элементы управления веб-безопасностью. Приложения затрагиваются только в том случае, если они создают веб-Предпочтения из внешнего или ненадежного ввода без разрешения. Приложения, использующие фиксированный, жестко закодированный объект веб-Предпочтения, не затрагиваются. Эта проблема была исправлена в версиях 38.8.6, 39.8.0, 40.7.0 и 41.0.0-beta.8.
CVE-2026-34765Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До 39.8.5, 40.8.5, 41.1.0 и 42.0.0-альфа.5, когда рендеринг вызывает window.open() с целевым названием, Electron не правильно охватывал поиск названного окна в контекстную группу просмотра открывателя. Рендера может перемещаться по существующему детское окно, которое было открыто другим, несвязанным рендерером, если оба использовали одно и то же целевое имя. Если этот существующий ребенок был создан с более разрешительными веб-предпочтениями (через setWindowOpenHandler's overrideBrowserWindowOptions), контент, загруженный вторым рендерером, наследует эти разрешения. Приложения затрагиваются только в том случае, если они открывают несколько окон верхнего уровня с различными уровнями доверия и используют setWindowOpenHandler для предоставления детских окон повышенных веб-Пражеских предпочестях, таких как привилегированный сценарий предварительной загрузки. Приложения, которые не повышают привилегии детских окон или которые используют одно окно верхних уровней, не затрагиваются. Приложения, которые дополнительно предоставляют nodeIntegration: true или sandbox: false to child windows (в противовес рекомендациям по безопасности), могут подвергаться произвольной казни кода. Эта уязвимость зафиксирована в 39.8.5, 40.8.5, 41.1.0 и 42.0.0-альфа5.
CVE-2018-1000118Github Electron версии Electron 1.8.2-beta.4 и более ранние версии содержат уязвимость Command Injection в Protocol Handler, которая может привести к выполнению команды. Эта атака, по-видимому, может быть использована, если жертва откроет обработчик протокола electron в своем браузере. Эта уязвимость, по-видимому, была исправлена в Electron 1.8.2-beta.5. Эта проблема связана с неполным исправлением CVE-2018-1000006, в частности, используемый черный список не был нечувствителен к регистру, что позволяло злоумышленнику потенциально обойти его.
CVE-2021-39184Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. Уязвимость в версиях, предшествующих 11.5.0, 12.1.0 и 13.3.0, позволяет изолированному рендереру запрашивать изображение "миниатюры" произвольного файла в системе пользователя. Миниатюра потенциально может включать значительные части исходного файла, в том числе текстовые данные во многих случаях. Версии 15.0.0-alpha.10, 14.0.0, 13.3.0, 12.1.0 и 11.5.0 содержат исправление для этой уязвимости. Доступны два обходных пути, помимо обновления. Один из них может значительно затруднить эксплуатацию уязвимости злоумышленником, включив `contextIsolation` в своем приложении. Также можно отключить функциональность API `createThumbnailFromPath`, если она не требуется.
CVE-2023-29198Electron — это фреймворк, который позволяет писать кроссплатформенные настольные приложения с использованием JavaScript, HTML и CSS. Приложения Electron, использующие `contextIsolation` и `contextBridge`, подвержены воздействию. Это обход изоляции контекста, то есть код, выполняющийся в основном мировом контексте в рендерере, может проникнуть в изолированный контекст Electron и выполнить привилегированные действия. Эта проблема может быть использована только в том случае, если API, предоставляемый основному миру через `contextBridge`, может возвращать объект или массив, содержащий объект javascript, который не может быть сериализован, например, контекст рендеринга холста. Обычно это приводит к исключению `Error: object could not be cloned`. Обходной путь на стороне приложения — убедиться, что такой случай невозможен. Убедитесь, что все значения, возвращаемые из функции, предоставляемой через мост контекста, поддерживаются. Эта проблема была исправлена в версиях `25.0.0-alpha.2`, `24.0.1`, `23.2.3` и `22.3.6`.
CVE-2026-34774Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 39.8.1, 40.7.0 и 41.0.0 приложения, которые используют закадровый рендеринг и разрешают детские окна через window.open(), могут быть уязвимы для использования после-бесплатно. Если родительский закадровый веб-контент разрушается, в то время как детское окно остается открытым, последующие рамки краски на детской деферменте отозваны, что может привести к сбою или повреждению памяти. Приложения затрагиваются только в том случае, если они используют внеэкранный рендеринг (webPreferences.offscreen: true), а их setWindowOpenHandler позволяет использовать детские окна. Приложения, которые не используют закадровый рендеринг или отказывают в детских окнах, не затрагиваются. Эта проблема была исправлена в версиях 39.8.1, 40.7.0 и 41.0.
CVE-2018-15685GitHub Electron 1.7.15, 1.8.7, 2.0.7 и 3.0.0-beta.6, в определенных сценариях, включающих элементы IFRAME и параметры "nativeWindowOpen: true" или "sandbox: true", подвержен уязвимости WebPreferences, которую можно использовать для выполнения удаленного кода.
CVE-2018-1000136Electron версии с 1.7 до 1.7.12; с 1.8 до 1.8.3 и с 2.0.0 до 2.0.0-beta.3 содержат уязвимость improper handling of values в Webviews, которая может привести к удаленному выполнению кода. Эта атака, по-видимому, может быть использована через приложение, которое разрешает выполнение кода сторонних разработчиков И запрещает интеграцию node, И не указало, включен/отключен ли webview. Эта уязвимость, по-видимому, была исправлена в версиях 1.7.13, 1.8.4, 2.0.0-beta.4.
CVE-2026-34779Electron - это фреймворк для написания кроссплатформированных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.1, 40.8.0 и 41.0.0-beta.8 на macOS, app.moveToPlicationsFolder() использовал запасной путь AppleScript, который не обрабатывал должным образом определенные символы в пути пакета приложений. При определенных условиях созданный путь запуска может привести к произвольному исполнению AppleScript, когда пользователь принял запрос на переход в приложения. Приложения затрагиваются только в том случае, если они звонят в app.moveToApplicationsFolder(). Приложения, которые не используют этот API, не затрагиваются. Эта проблема была исправлена в версиях 38.8.6, 39.8.1, 40.8.0 и 41.0.0-beta.8.
CVE-2026-34768Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.1, 40.8.0 и 41.0.0-beta.8, на Windows, app.setLoginItemSettings({openAtLogin: true}) написал исполняемый путь к ключу реестра Run, не цитируя. Если приложение установлено на пути, содержащем пробелы, злоумышленник с доступом к записи в каталоге предков может привести к тому, что другой исполняемый файл запуска при входе в систему вместо предполагаемого приложения. При установке Windows по умолчанию стандартные системные каталоги защищены от записей стандартных пользователей, поэтому для эксплуатации обычно требуется нестандартное местоположение установки. Эта проблема была исправлена в версиях 38.8.6, 39.8.1, 40.8.0 и 41.0.0-beta.8.
CVE-2024-46992Electron - это фреймворк с открытым исходным кодом для написания кроссплатформированных настольных приложений с использованием JavaScript, HTML и CSS. От версий 30.0.0-альфа.1 до 30.0.5 и 31.0.0-альфа.1 до 31.0.0-бета.1, Electron уязвим для обхода ASAR Integrity. Это влияет только на приложения, которые имеют включенные встроенные предохранители AsarIntegrityValidation и только включенные предохранителиLoadAppFromAsar. Приложения без включения этих предохранителей не затрагиваются. Эта проблема специфична для Windows, приложения, использующие эти предохранители на macOS, не затронуты. В частности, эта проблема может быть использована только в том случае, если приложение запущено из файловой системы, доступ злоумышленника также имеет к записи. то есть возможность редактировать файлы внутри пакета .app на macOS, от которого эти предохранительные органы должны защищаться. Этот выпуск был исправлен в версиях 30.0.5 и 31.0.0-beta.1. Нет обходных вариантов для этого вопроса.
CVE-2026-34773Electron - это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 38.8.6, 39.8.1, 40.8.1 и 41.0.0, в Windows, app.setAsDefaultProtocolClient(protocolClient) не валидировал имя протокола перед записью в реестр. Приложения, которые пропускают ненадежный ввод в качестве имени протокола, могут позволить злоумышленнику писать произвольным подкламам под HKCU\Software\Classes, потенциально захватывая существующие обработчики протоколов. Приложения затрагиваются только в том случае, если они называют app.setAsDefaultProtocolClient() с именем протокола, полученным из внешнего или ненадежного ввода. Приложения, использующие имя жесткого кода протокола, не затрагиваются. Эта проблема была исправлена в версиях 38.8.6, 39.8.1, 40.8.1 и 41.0.0.
CVE-2020-4075В Electron до версий 7.2.4, 8.2.4 и 9.0.0-beta21 возможен произвольный локальный файл для чтения, определяя небезопасные параметры окна в дочернем окне, открытом через window.open. В качестве обходного пути убедитесь, что вы вызываете `event.preventDefault()` для всех событий new-window, где `url` или `options` не являются чем-то, что вы ожидаете. Это исправлено в версиях 9.0.0-beta.21, 8.2.4 и 7.2.4.
CVE-2020-15174В Electron до версий 11.0.0-beta.1, 10.0.1, 9.3.0 или 8.5.1 событие `will-navigate`, которое приложения используют для предотвращения переходов к неожиданным назначениям в соответствии с нашими рекомендациями по безопасности, можно обойти, когда подкадр выполняет навигацию по верхнему кадру между сайтами. Проблема исправлена в версиях 11.0.0-beta.1, 10.0.1, 9.3.0 или 8.5.1. В качестве обходного пути изолируйте все свои iFrame-ы, используя атрибут sandbox. Это предотвратит создание ими навигации по верхнему кадру и в любом случае является хорошей практикой.
CVE-2022-29257Electron — это фреймворк для написания кроссплатформенных настольных приложений с использованием JavaScript (JS), HTML и CSS. Уязвимость в версиях до 18.0.0-beta.6, 17.2.0, 16.2.6 и 15.5.5 позволяет злоумышленникам, которые контролируют сервер обновлений/хранилище обновлений данного приложения, предоставлять злонамеренно созданные пакеты обновлений, которые проходят проверку подписи кода, но содержат вредоносный код в некоторых компонентах. Этот вид атаки потребует значительных привилегий в собственной инфраструктуре автоматического обновления потенциальной жертвы, и простота этой атаки полностью зависит от безопасности инфраструктуры потенциальной жертвы. Electron версий 18.0.0-beta.6, 17.2.0, 16.2.6 и 15.5.5 содержит исправление этой проблемы. Нет известных обходных путей.
CVE-2023-44402Electron — это платформа с открытым исходным кодом для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. Это влияет только на приложения, в которых включены предохранители `embeddedAsarIntegrityValidation` и `onlyLoadAppFromAsar`. Приложения без этих предохранителей не подвержены этой проблеме. Эта проблема специфична для macOS, поскольку эти предохранители в настоящее время поддерживаются только в macOS. В частности, эта проблема может быть использована только в том случае, если ваше приложение запущено из файловой системы, к которой у злоумышленника есть доступ на запись. То есть возможность редактировать файлы внутри пакета `.app` в macOS, от чего эти предохранители должны защищать. Обходных путей на стороне приложения нет, необходимо обновить версию Electron до исправленной.