CVE-2026-34780 Vulnerability Analysis & Exploit Details

CVE-2026-34780 Vulnerability Summary

CVE-2026-34780: Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. From versions 39.0.0-alpha.1 to before 39.8.0, 40.0.0-alpha.1 to before 40.7.0, and 41.0.0-alpha.1 to before 41.0.0-beta.8, apps that pass VideoFrame objects (from the WebCodecs API) across the contextBridge are vulnerable to a context isolation bypass. An attacker who can execute JavaScript in the main world (for example, via XSS) can use a bridged VideoFrame to gain access to the isolated world, including any Node.js APIs exposed to the preload script. Apps are only affected if a preload script returns, resolves, or passes a VideoFrame object to the main world via contextBridge.exposeInMainWorld(). Apps that do not bridge VideoFrame objects are not affected. This issue has been patched in versions 39.8.0, 40.7.0, and 41.0.0-beta.8.

CVE-2026-34780 References

External References

• https://github.com/electron/electron/security/advisories/GHSA-jfqg-hf23-qpw2

CWE Common Weakness Enumeration

CAPEC Common Attack Pattern Enumeration and Classification

• Exploitation of Thunderbolt Protection Flaws CAPEC-665 An adversary leverages a firmware weakness within the Thunderbolt protocol, on a computing device to manipulate Thunderbolt controller firmware in order to exploit vulnerabilities in the implementation of authorization and verification schemes within Thunderbolt protection mechanisms. Upon gaining physical access to a target device, the adversary conducts high-level firmware manipulation of the victim Thunderbolt controller SPI (Serial Peripheral Interface) flash, through the use of a SPI Programing device and an external Thunderbolt device, typically as the target device is booting up. If successful, this allows the adversary to modify memory, subvert authentication mechanisms, spoof identities and content, and extract data and memory from the target device. Currently 7 major vulnerabilities exist within Thunderbolt protocol with 9 attack vectors as noted in the Execution Flow.

Vulnerable Configurations

• cpe:2.3:a:electronjs:electron:39.0.0:-:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:-:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:beta1:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:beta1:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:beta2:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:beta2:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:beta3:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:beta3:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:beta4:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:beta4:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:beta5:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:beta5:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha1:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha1:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha2:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha2:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha3:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha3:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha4:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha4:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha5:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha5:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha6:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha6:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha7:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha7:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha8:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha8:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.0:alpha9:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.0:alpha9:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.0.1:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.0.1:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.1.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.1.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.1.1:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.1.1:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.1.2:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.1.2:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.2.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.2.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.2.1:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.2.1:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.2.2:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.2.2:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.2.3:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.2.3:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.2.4:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.2.4:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.2.5:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.2.5:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.2.6:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.2.6:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.2.7:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.2.7:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.3.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.3.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.4.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.4.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.5.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.5.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.5.1:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.5.1:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.5.2:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.5.2:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.6.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.6.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.6.1:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.6.1:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:39.7.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:39.7.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:-:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:-:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta1:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta1:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta2:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta2:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta3:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta3:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta4:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta4:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta5:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta5:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta6:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta6:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta7:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta7:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta8:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta8:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:beta9:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:beta9:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha1:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha1:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha2:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha2:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha3:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha3:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha4:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha4:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha5:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha5:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha6:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha6:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha7:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha7:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha8:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha8:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.0.0:alpha9:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.0.0:alpha9:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.1.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.1.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.2.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.2.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.2.1:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.2.1:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.3.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.3.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.4.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.4.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.4.1:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.4.1:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.5.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.5.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.6.0:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.6.0:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:40.6.1:*:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:40.6.1:*:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:alpha1:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:alpha1:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:alpha2:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:alpha2:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:alpha3:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:alpha3:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:alpha4:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:alpha4:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:alpha5:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:alpha5:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:alpha6:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:alpha6:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:beta1:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:beta1:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:beta2:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:beta2:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:beta3:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:beta3:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:beta4:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:beta4:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:beta5:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:beta5:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:beta6:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:beta6:*:*:*:node.js:*:*
• cpe:2.3:a:electronjs:electron:41.0.0:beta7:*:*:*:node.js:*:*
  cpe:2.3:a:electronjs:electron:41.0.0:beta7:*:*:*:node.js:*:*

Other 5 Recently Published CVEs Vulnerabilities

• CVE-2026-8288 – A vulnerability was determined in Open5GS up to 2.7.7. This affects the function gsm_handle_pdu_session_modification_qos_flow_descriptions of the f...
• CVE-2025-9973 – Due to not validating the organization context when executing adaptive authentication flows, the WSO2 Identity Server allows adaptive authenticatio...
• CVE-2025-10470 – The Magic Link authentication flow accepts multiple invalid authentication requests without adequate rate limiting or resource control, leading to ...
• CVE-2026-6956 – ATutor is vulnerable to Reflected XSS in /install/install.php endpoint. An attacker can provide a specially crafted URL that, when opened, results ...
• CVE-2026-6909 – ATutor is vulnerable to Reflected XSS in /install/upgrade.php endpoint. An attacker can provide a specially crafted URL that, when opened, results ...