製品・ソフトウェアに関する情報

JVN脆弱性詳細

Electronのelectronにおける誤った領域へのリソースの漏えいに関する脆弱性

タイトル	Electronのelectronにおける誤った領域へのリソースの漏えいに関する脆弱性
概要	ElectronはJavaScript、HTML、およびCSSを使用してクロスプラットフォームのデスクトップアプリケーションを作成するためのフレームワークです。バージョン39.8.5、40.8.5、41.1.0、および42.0.0-alpha.5より前のバージョンでは、レンダラーがtarget名を指定してwindow.open()を呼び出した場合、Electronは開いたウィンドウの名前付きウィンドウの検索をオープナーのブラウジングコンテキストグループに正しく制限していませんでした。複数のレンダラーが同じtarget名を使用した場合、レンダラーは異なる、関連のないレンダラーによって開かれた既存の子ウィンドウをナビゲートできてしまいました。その既存の子ウィンドウがより許可の多いwebPreferences（setWindowOpenHandlerのoverrideBrowserWindowOptions経由）で作成されていた場合、2つ目のレンダラーによって読み込まれたコンテンツはその権限を継承しました。複数のトップレベルウィンドウを異なる信頼レベルで開き、かつsetWindowOpenHandlerを使って子ウィンドウに特権的なプリロードスクリプトなどの強化されたwebPreferencesを与えているアプリのみが影響を受けます。子ウィンドウの権限を強化しないアプリ、または単一トップレベルウィンドウを使用するアプリは影響を受けません。さらに子ウィンドウにnodeIntegration: trueやsandbox: falseを付与しているアプリ（セキュリティ推奨に反して）は任意のコードが実行される可能性があります。この脆弱性は39.8.5、40.8.5、41.1.0、および42.0.0-alpha.5で修正されています。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年4月7日0:00
登録日	2026年4月21日10:47
最終更新日	2026年4月21日10:47

CVSS3.0 : 重要
スコア	8.8
ベクター	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

Electron

electron 39.8.4 およびそれ以前

electron 40.0.0 から 40.8.4

electron 41.0.0 以上 41.1.0 未満

electron 41.2.0

electron 42.0.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-34765	https://www.cve.org/CVERecord?id=CVE-2026-34765
National Vulnerability Database (NVD)
2	CVE-2026-34765	https://nvd.nist.gov/vuln/detail/CVE-2026-34765

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-668	https://cwe.mitre.org/data/definitions/668.html

ベンダー情報

No	名前	URL
GitHub
1	Named window.open targets not scoped to the opener's browsing context Advisory electron/electron GitHub	https://github.com/electron/electron/security/advisories/GHSA-f3pv-wv63-48x8

変更履歴

No	変更内容	変更日
1	[2026年04月21日] 掲載	2026年4月21日10:47

NVD脆弱性情報

CVE-2026-34765

概要	Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. Prior to 39.8.5, 40.8.5, 41.1.0, and 42.0.0-alpha.5, when a renderer calls window.open() with a target name, Electron did not correctly scope the named-window lookup to the opener's browsing context group. A renderer could navigate an existing child window that was opened by a different, unrelated renderer if both used the same target name. If that existing child was created with more permissive webPreferences (via setWindowOpenHandler's overrideBrowserWindowOptions), content loaded by the second renderer inherits those permissions. Apps are only affected if they open multiple top-level windows with differing trust levels and use setWindowOpenHandler to grant child windows elevated webPreferences such as a privileged preload script. Apps that do not elevate child window privileges, or that use a single top-level window, are not affected. Apps that additionally grant nodeIntegration: true or sandbox: false to child windows (contrary to the security recommendations) may be exposed to arbitrary code execution. This vulnerability is fixed in 39.8.5, 40.8.5, 41.1.0, and 42.0.0-alpha.5.
公表日	2026年4月8日7:16
登録日	2026年4月15日11:30
最終更新日	2026年4月21日2:12

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:electronjs:electron::::::node.js::*		39.8.4
cpe:2.3:a:electronjs:electron::::::node.js::*	40.0.0	40.8.4
cpe:2.3:a:electronjs:electron::::::node.js::*	41.0.0			41.1.0
cpe:2.3:a:electronjs:electron:41.2.0:::::node.js::
cpe:2.3:a:electronjs:electron:42.0.0:alpha1::::node.js::*
cpe:2.3:a:electronjs:electron:42.0.0:alpha2::::node.js::*
cpe:2.3:a:electronjs:electron:42.0.0:alpha3::::node.js::*
cpe:2.3:a:electronjs:electron:42.0.0:alpha4::::node.js::*