製品・ソフトウェアに関する情報
Vulnerability Search
Electronのelectronにおける複数の脆弱性
Title Electronのelectronにおける複数の脆弱性
Summary

Electron は、JavaScript、HTML、および CSS を使用してクロスプラットフォームのデスクトップアプリケーションを作成するためのフレームワークです。バージョン 38.8.6、39.8.1、40.8.1、および 41.0.0 より前のバージョンでは、セッション内で実行されるサービスワーカーが、webContents.executeJavaScript() および関連メソッドで使用される内部 IPC チャンネル上の返信メッセージを偽装でき、メインプロセスのプロミスが攻撃者制御下のデータで解決される可能性がありました。サービスワーカーを登録しており、かつ webContents.executeJavaScript()(または webFrameMain.executeJavaScript())の結果をセキュリティ上重要な判断に使用しているアプリケーションのみが影響を受けます。この問題は、バージョン 38.8.6、39.8.1、40.8.1、および 41.0.0 で修正されています。

Possible impacts 当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 
Solution

正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。

Publication Date April 4, 2026, midnight
Registration Date April 21, 2026, 10:47 a.m.
Last Update April 21, 2026, 10:47 a.m.
CVSS3.0 : 警告
Score 6.5
Vector CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N
Affected System
Electron
electron 38.8.6 未満
electron 39.0.0 以上 39.8.1 未満
electron 40.0.0 以上 40.8.1 未満
electron 41.0.0
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年04月21日]
  掲載		 April 21, 2026, 10:47 a.m.
NVD Vulnerability Information
CVE-2026-34778
Summary

Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. Prior to versions 38.8.6, 39.8.1, 40.8.1, and 41.0.0, a service worker running in a session could spoof reply messages on the internal IPC channel used by webContents.executeJavaScript() and related methods, causing the main-process promise to resolve with attacker-controlled data. Apps are only affected if they have service workers registered and use the result of webContents.executeJavaScript() (or webFrameMain.executeJavaScript()) in security-sensitive decisions. This issue has been patched in versions 38.8.6, 39.8.1, 40.8.1, and 41.0.0.

Publication Date April 4, 2026, 9:16 a.m.
Registration Date April 15, 2026, 11:25 a.m.
Last Update April 20, 2026, 11:22 p.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* 38.8.6
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* 39.0.0 39.8.1
cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* 40.0.0 40.8.1
cpe:2.3:a:electronjs:electron:41.0.0:alpha1:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:alpha2:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:alpha3:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:alpha4:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:alpha5:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:alpha6:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:beta1:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:beta2:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:beta3:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:beta4:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:beta5:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:beta6:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:beta7:*:*:*:node.js:*:*
cpe:2.3:a:electronjs:electron:41.0.0:beta8:*:*:*:node.js:*:*
Related information, measures and tools
Common Vulnerabilities List