Pubblicato il 2026-07-15 · Fonte: NVD NIST
La vulnerabilità CVE-2026-40501 è una vulnerabilità di esecuzione di codice remoto (RCE) presente in Cherry Studio, versioni 1.2.2 attraverso 1.9.12. Questa vulnerabilità consente agli attaccanti di eseguire codice arbitrario JavaScript con privilegi di Node.js, sfruttando la configurazione di Electron BrowserWindow con nodeIntegration abilitata e contextIsolation disabilitata. La vulnerabilità è stata risolta nel commit 1518530.
Un attaccante che controlla un motore di ricerca o una pagina di risultati di ricerca può sfruttare questa vulnerabilità per eseguire codice arbitrario con privilegi di sistema, ottenendo accesso a fs, child_process, os e process.env. Ciò può portare a un accesso non autorizzato al sistema e a possibili azioni maliziose.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Cherry Studio alla versione più recente disponibile, che include la correzione per la vulnerabilità CVE-2026-40501. Inoltre, è importante assicurarsi che la configurazione di Electron BrowserWindow sia corretta, disabilitando nodeIntegration e abilitando contextIsolation quando possibile.
La vulnerabilità CVE-2026-40501 è una vulnerabilità di esecuzione di codice remoto (RCE) presente in Cherry Studio, che consente agli attaccanti di eseguire codice arbitrario JavaScript con privilegi di Node.js.
La vulnerabilità CVE-2026-40501 può portare a un accesso non autorizzato al sistema e a possibili azioni maliziose, come l'esecuzione di codice arbitrario con privilegi di sistema.
Per proteggersi da questa vulnerabilità, è necessario aggiornare Cherry Studio alla versione più recente disponibile e assicurarsi che la configurazione di Electron BrowserWindow sia corretta, disabilitando nodeIntegration e abilitando contextIsolation quando possibile.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.