anonhaven

CVE-2026-34781

LOW CVSS 3.1: 3,3 EPSS 0.01%
Обновлено 16 апреля 2026
Electronjs
Параметр Значение
CVSS 3,3 (LOW)
Уязвимые версии 40.0.0 — 41.1.0
Устранено в версии 39.8.5
Тип уязвимости CWE-476 (Разыменование нулевого указателя)
Поставщик Electronjs
Публичный эксплойт Нет

Electron — это платформа для написания кроссплатформенных настольных приложений с использованием JavaScript, HTML и CSS. До версий 39.8.5, 40.8.5, 41.1.0 и 42.0.0-alpha.5 приложения, вызывающие clipboard.readImage(), могут быть уязвимы к отказу в обслуживании. Если в системном буфере обмена содержатся данные изображения, которые не удается декодировать, результирующее нулевое растровое изображение передается непроверенным при построении изображения, что приводит к управляемому прерыванию и сбою процесса.

На приложения это влияет только в том случае, если они вызывают clipboard.readImage(). Приложения, которые не читают изображения из буфера обмена, не затронуты. Эта проблема не допускает повреждения памяти или выполнения кода.

Эта уязвимость исправлена ​​в версиях 39.8.5, 40.8.5, 41.1.0 и 42.0.0-alpha.5.

Показать оригинальное описание (EN)

Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. Prior to 39.8.5, 40.8.5, 41.1.0, and 42.0.0-alpha.5, apps that call clipboard.readImage() may be vulnerable to a denial of service. If the system clipboard contains image data that fails to decode, the resulting null bitmap is passed unchecked to image construction, triggering a controlled abort and crashing the process. Apps are only affected if they call clipboard.readImage(). Apps that do not read images from the clipboard are not affected. This issue does not allow memory corruption or code execution. This vulnerability is fixed in 39.8.5, 40.8.5, 41.1.0, and 42.0.0-alpha.5.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Низкое
Частичное нарушение работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-476 NULL Pointer Dereference (Разыменование нулевого указателя)

Уязвимые продукты 8

Конфигурация От (включительно) До (исключительно)
Electronjs Electron
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:*
 <= 39.8.4
Electronjs Electron
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:*
 40.0.0 <= 40.8.4
Electronjs Electron
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:*
 41.0.0 41.1.0
Electronjs Electron
cpe:2.3:a:electronjs:electron:41.2.0:*:*:*:*:node.js:*:*
Electronjs Electron
cpe:2.3:a:electronjs:electron:42.0.0:alpha1:*:*:*:node.js:*:*
Electronjs Electron
cpe:2.3:a:electronjs:electron:42.0.0:alpha2:*:*:*:node.js:*:*
Electronjs Electron
cpe:2.3:a:electronjs:electron:42.0.0:alpha3:*:*:*:node.js:*:*
Electronjs Electron
cpe:2.3:a:electronjs:electron:42.0.0:alpha4:*:*:*:node.js:*:*

Ссылки 1

https://github.com/electron/electron/security/advisories/GHSA-f37v-82c4-4x64
security-advisories@github.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-34769

Electron

7,8

CVE-2026-34768

Electron

7,8

CVE-2026-34767

Electron

6,5

CVE-2026-34766

Electron

5,4