| Title | Electronのelectronにおける誤った領域へのリソースの漏えいに関する脆弱性 |
|---|---|
| Summary | ElectronはJavaScript、HTML、およびCSSを使用してクロスプラットフォームのデスクトップアプリケーションを作成するためのフレームワークです。バージョン39.8.5、40.8.5、41.1.0、および42.0.0-alpha.5より前のバージョンでは、レンダラーがtarget名を指定してwindow.open()を呼び出した場合、Electronは開いたウィンドウの名前付きウィンドウの検索をオープナーのブラウジングコンテキストグループに正しく制限していませんでした。複数のレンダラーが同じtarget名を使用した場合、レンダラーは異なる、関連のないレンダラーによって開かれた既存の子ウィンドウをナビゲートできてしまいました。その既存の子ウィンドウがより許可の多いwebPreferences(setWindowOpenHandlerのoverrideBrowserWindowOptions経由)で作成されていた場合、2つ目のレンダラーによって読み込まれたコンテンツはその権限を継承しました。複数のトップレベルウィンドウを異なる信頼レベルで開き、かつsetWindowOpenHandlerを使って子ウィンドウに特権的なプリロードスクリプトなどの強化されたwebPreferencesを与えているアプリのみが影響を受けます。子ウィンドウの権限を強化しないアプリ、または単一トップレベルウィンドウを使用するアプリは影響を受けません。さらに子ウィンドウにnodeIntegration: trueやsandbox: falseを付与しているアプリ(セキュリティ推奨に反して)は任意のコードが実行される可能性があります。この脆弱性は39.8.5、40.8.5、41.1.0、および42.0.0-alpha.5で修正されています。 |
| Possible impacts | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | April 7, 2026, midnight |
| Registration Date | April 21, 2026, 10:47 a.m. |
| Last Update | April 21, 2026, 10:47 a.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| Electron |
| electron 39.8.4 およびそれ以前 |
| electron 40.0.0 から 40.8.4 |
| electron 41.0.0 以上 41.1.0 未満 |
| electron 41.2.0 |
| electron 42.0.0 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年04月21日] 掲載 |
April 21, 2026, 10:47 a.m. |
| Summary | Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. Prior to 39.8.5, 40.8.5, 41.1.0, and 42.0.0-alpha.5, when a renderer calls window.open() with a target name, Electron did not correctly scope the named-window lookup to the opener's browsing context group. A renderer could navigate an existing child window that was opened by a different, unrelated renderer if both used the same target name. If that existing child was created with more permissive webPreferences (via setWindowOpenHandler's overrideBrowserWindowOptions), content loaded by the second renderer inherits those permissions. Apps are only affected if they open multiple top-level windows with differing trust levels and use setWindowOpenHandler to grant child windows elevated webPreferences such as a privileged preload script. Apps that do not elevate child window privileges, or that use a single top-level window, are not affected. Apps that additionally grant nodeIntegration: true or sandbox: false to child windows (contrary to the security recommendations) may be exposed to arbitrary code execution. This vulnerability is fixed in 39.8.5, 40.8.5, 41.1.0, and 42.0.0-alpha.5. |
|---|---|
| Publication Date | April 8, 2026, 7:16 a.m. |
| Registration Date | April 15, 2026, 11:30 a.m. |
| Last Update | April 21, 2026, 2:12 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* | 39.8.4 | ||||
| cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* | 40.0.0 | 40.8.4 | |||
| cpe:2.3:a:electronjs:electron:*:*:*:*:*:node.js:*:* | 41.0.0 | 41.1.0 | |||
| cpe:2.3:a:electronjs:electron:41.2.0:*:*:*:*:node.js:*:* | |||||
| cpe:2.3:a:electronjs:electron:42.0.0:alpha1:*:*:*:node.js:*:* | |||||
| cpe:2.3:a:electronjs:electron:42.0.0:alpha2:*:*:*:node.js:*:* | |||||
| cpe:2.3:a:electronjs:electron:42.0.0:alpha3:*:*:*:node.js:*:* | |||||
| cpe:2.3:a:electronjs:electron:42.0.0:alpha4:*:*:*:node.js:*:* | |||||