Vulnerability Details CVE-2026-34768
Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. Prior to versions 38.8.6, 39.8.1, 40.8.0, and 41.0.0-beta.8, on Windows, app.setLoginItemSettings({openAtLogin: true}) wrote the executable path to the Run registry key without quoting. If the app is installed to a path containing spaces, an attacker with write access to an ancestor directory may be able to cause a different executable to run at login instead of the intended app. On a default Windows install, standard system directories are protected against writes by standard users, so exploitation typically requires a non-standard install location. This issue has been patched in versions 38.8.6, 39.8.1, 40.8.0, and 41.0.0-beta.8.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 3.2%
CVSS Severity
CVSS v3 Score 3.9
Products affected by CVE-2026-34768
-
cpe:2.3:a:electronjs:electron:*
-
cpe:2.3:a:electronjs:electron:1.7.8
-
cpe:2.3:a:electronjs:electron:18.0.2
-
cpe:2.3:a:electronjs:electron:18.0.3
-
cpe:2.3:a:electronjs:electron:18.0.4
-
cpe:2.3:a:electronjs:electron:18.1.0
-
cpe:2.3:a:electronjs:electron:18.2.0
-
cpe:2.3:a:electronjs:electron:18.2.2
-
cpe:2.3:a:electronjs:electron:18.2.3
-
cpe:2.3:a:electronjs:electron:18.2.4
-
cpe:2.3:a:electronjs:electron:18.3.0
-
cpe:2.3:a:electronjs:electron:18.3.1
-
cpe:2.3:a:electronjs:electron:18.3.11
-
cpe:2.3:a:electronjs:electron:18.3.12
-
cpe:2.3:a:electronjs:electron:18.3.13
-
cpe:2.3:a:electronjs:electron:18.3.14
-
cpe:2.3:a:electronjs:electron:18.3.15
-
cpe:2.3:a:electronjs:electron:18.3.2
-
cpe:2.3:a:electronjs:electron:18.3.3
-
cpe:2.3:a:electronjs:electron:18.3.4
-
cpe:2.3:a:electronjs:electron:18.3.5
-
cpe:2.3:a:electronjs:electron:18.3.6
-
cpe:2.3:a:electronjs:electron:18.3.7
-
cpe:2.3:a:electronjs:electron:18.3.8
-
cpe:2.3:a:electronjs:electron:18.3.9
-
cpe:2.3:a:electronjs:electron:19.0.0
-
cpe:2.3:a:electronjs:electron:19.0.1
-
cpe:2.3:a:electronjs:electron:19.0.10
-
cpe:2.3:a:electronjs:electron:19.0.11
-
cpe:2.3:a:electronjs:electron:19.0.12
-
cpe:2.3:a:electronjs:electron:19.0.13
-
cpe:2.3:a:electronjs:electron:19.0.14
-
cpe:2.3:a:electronjs:electron:19.0.15
-
cpe:2.3:a:electronjs:electron:19.0.16
-
cpe:2.3:a:electronjs:electron:19.0.17
-
cpe:2.3:a:electronjs:electron:19.0.2
-
cpe:2.3:a:electronjs:electron:19.0.3
-
cpe:2.3:a:electronjs:electron:19.0.4
-
cpe:2.3:a:electronjs:electron:19.0.5
-
cpe:2.3:a:electronjs:electron:19.0.6
-
cpe:2.3:a:electronjs:electron:19.0.7
-
cpe:2.3:a:electronjs:electron:19.0.8
-
cpe:2.3:a:electronjs:electron:19.0.9
-
cpe:2.3:a:electronjs:electron:19.1.0
-
cpe:2.3:a:electronjs:electron:19.1.1
-
cpe:2.3:a:electronjs:electron:19.1.2
-
cpe:2.3:a:electronjs:electron:19.1.3
-
cpe:2.3:a:electronjs:electron:20.0.0
-
cpe:2.3:a:electronjs:electron:20.0.1
-
cpe:2.3:a:electronjs:electron:20.0.2
-
cpe:2.3:a:electronjs:electron:20.0.3
-
cpe:2.3:a:electronjs:electron:20.1.0
-
cpe:2.3:a:electronjs:electron:20.1.1
-
cpe:2.3:a:electronjs:electron:20.1.2
-
cpe:2.3:a:electronjs:electron:20.1.3
-
cpe:2.3:a:electronjs:electron:20.1.4
-
cpe:2.3:a:electronjs:electron:20.2.0
-
cpe:2.3:a:electronjs:electron:20.3.0
-
cpe:2.3:a:electronjs:electron:20.3.1
-
cpe:2.3:a:electronjs:electron:20.3.2
-
cpe:2.3:a:electronjs:electron:21.0.0
-
cpe:2.3:a:electronjs:electron:21.0.1
-
cpe:2.3:a:electronjs:electron:21.1.0
-
cpe:2.3:a:electronjs:electron:21.1.1
-
cpe:2.3:a:electronjs:electron:22.0.0
-
cpe:2.3:a:electronjs:electron:22.0.1
-
cpe:2.3:a:electronjs:electron:22.0.2
-
cpe:2.3:a:electronjs:electron:22.0.3
-
cpe:2.3:a:electronjs:electron:22.1.0
-
cpe:2.3:a:electronjs:electron:22.2.0
-
cpe:2.3:a:electronjs:electron:22.2.1
-
cpe:2.3:a:electronjs:electron:22.3.0
-
cpe:2.3:a:electronjs:electron:22.3.1
-
cpe:2.3:a:electronjs:electron:22.3.10
-
cpe:2.3:a:electronjs:electron:22.3.11
-
cpe:2.3:a:electronjs:electron:22.3.12
-
cpe:2.3:a:electronjs:electron:22.3.13
-
cpe:2.3:a:electronjs:electron:22.3.14
-
cpe:2.3:a:electronjs:electron:22.3.15
-
cpe:2.3:a:electronjs:electron:22.3.16
-
cpe:2.3:a:electronjs:electron:22.3.17
-
cpe:2.3:a:electronjs:electron:22.3.18
-
cpe:2.3:a:electronjs:electron:22.3.2
-
cpe:2.3:a:electronjs:electron:22.3.21
-
cpe:2.3:a:electronjs:electron:22.3.22
-
cpe:2.3:a:electronjs:electron:22.3.23
-
cpe:2.3:a:electronjs:electron:22.3.24
-
cpe:2.3:a:electronjs:electron:22.3.3
-
cpe:2.3:a:electronjs:electron:22.3.4
-
cpe:2.3:a:electronjs:electron:22.3.5
-
cpe:2.3:a:electronjs:electron:22.3.6
-
cpe:2.3:a:electronjs:electron:22.3.7
-
cpe:2.3:a:electronjs:electron:22.3.8
-
cpe:2.3:a:electronjs:electron:22.3.9
-
cpe:2.3:a:electronjs:electron:23.0.0
-
cpe:2.3:a:electronjs:electron:23.1.0
-
cpe:2.3:a:electronjs:electron:23.1.1
-
cpe:2.3:a:electronjs:electron:23.1.2
-
cpe:2.3:a:electronjs:electron:23.1.3
-
cpe:2.3:a:electronjs:electron:23.1.4
-
cpe:2.3:a:electronjs:electron:23.2.0
-
cpe:2.3:a:electronjs:electron:23.2.1
-
cpe:2.3:a:electronjs:electron:23.2.2
-
cpe:2.3:a:electronjs:electron:23.2.3
-
cpe:2.3:a:electronjs:electron:23.2.4
-
cpe:2.3:a:electronjs:electron:23.3.0
-
cpe:2.3:a:electronjs:electron:23.3.1
-
cpe:2.3:a:electronjs:electron:23.3.10
-
cpe:2.3:a:electronjs:electron:23.3.11
-
cpe:2.3:a:electronjs:electron:23.3.12
-
cpe:2.3:a:electronjs:electron:23.3.13
-
cpe:2.3:a:electronjs:electron:23.3.14
-
cpe:2.3:a:electronjs:electron:23.3.2
-
cpe:2.3:a:electronjs:electron:23.3.3
-
cpe:2.3:a:electronjs:electron:23.3.4
-
cpe:2.3:a:electronjs:electron:23.3.5
-
cpe:2.3:a:electronjs:electron:23.3.6
-
cpe:2.3:a:electronjs:electron:23.3.7
-
cpe:2.3:a:electronjs:electron:23.3.8
-
cpe:2.3:a:electronjs:electron:23.3.9
-
cpe:2.3:a:electronjs:electron:24.0.0
-
cpe:2.3:a:electronjs:electron:24.1.0
-
cpe:2.3:a:electronjs:electron:24.1.1
-
cpe:2.3:a:electronjs:electron:24.1.2
-
cpe:2.3:a:electronjs:electron:24.1.3
-
cpe:2.3:a:electronjs:electron:24.2.0
-
cpe:2.3:a:electronjs:electron:24.3.0
-
cpe:2.3:a:electronjs:electron:24.3.1
-
cpe:2.3:a:electronjs:electron:24.4.0
-
cpe:2.3:a:electronjs:electron:24.4.1
-
cpe:2.3:a:electronjs:electron:24.5.0
-
cpe:2.3:a:electronjs:electron:24.5.1
-
cpe:2.3:a:electronjs:electron:24.6.0
-
cpe:2.3:a:electronjs:electron:24.6.1
-
cpe:2.3:a:electronjs:electron:24.6.2
-
cpe:2.3:a:electronjs:electron:24.6.3
-
cpe:2.3:a:electronjs:electron:24.6.4
-
cpe:2.3:a:electronjs:electron:24.6.5
-
cpe:2.3:a:electronjs:electron:24.7.0
-
cpe:2.3:a:electronjs:electron:24.7.1
-
cpe:2.3:a:electronjs:electron:24.8.0
-
cpe:2.3:a:electronjs:electron:24.8.1
-
cpe:2.3:a:electronjs:electron:24.8.2
-
cpe:2.3:a:electronjs:electron:24.8.3
-
cpe:2.3:a:electronjs:electron:25.0.0
-
cpe:2.3:a:electronjs:electron:25.0.1
-
cpe:2.3:a:electronjs:electron:25.1.0
-
cpe:2.3:a:electronjs:electron:25.1.1
-
cpe:2.3:a:electronjs:electron:25.2.0
-
cpe:2.3:a:electronjs:electron:25.2.1
-
cpe:2.3:a:electronjs:electron:25.3.0
-
cpe:2.3:a:electronjs:electron:25.3.1
-
cpe:2.3:a:electronjs:electron:25.3.2
-
cpe:2.3:a:electronjs:electron:25.4.0
-
cpe:2.3:a:electronjs:electron:25.5.0
-
cpe:2.3:a:electronjs:electron:25.6.0
-
cpe:2.3:a:electronjs:electron:25.7.0
-
cpe:2.3:a:electronjs:electron:25.8.0
-
cpe:2.3:a:electronjs:electron:25.8.1
-
cpe:2.3:a:electronjs:electron:26.0.0
-
cpe:2.3:a:electronjs:electron:26.1.0
-
cpe:2.3:a:electronjs:electron:26.2.0
-
cpe:2.3:a:electronjs:electron:26.2.1
-
cpe:2.3:a:electronjs:electron:27.0.0
-
cpe:2.3:a:electronjs:electron:41.0.0