Vulnerability Details CVE-2026-34766
Electron is a framework for writing cross-platform desktop applications using JavaScript, HTML and CSS. Prior to versions 38.8.6, 39.8.0, 40.7.0, and 41.0.0-beta.8, the select-usb-device event callback did not validate the chosen device ID against the filtered list that was presented to the handler. An app whose handler could be influenced to select a device ID outside the filtered set would grant access to a device that did not match the renderer's requested filters or was listed in exclusionFilters. The WebUSB security blocklist remained enforced regardless, so security-sensitive devices on the blocklist were not affected. The practical impact is limited to apps with unusual device-selection logic. This issue has been patched in versions 38.8.6, 39.8.0, 40.7.0, and 41.0.0-beta.8.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 1.4%
CVSS Severity
CVSS v3 Score 3.3
Products affected by CVE-2026-34766
-
cpe:2.3:a:electronjs:electron:*
-
cpe:2.3:a:electronjs:electron:1.7.8
-
cpe:2.3:a:electronjs:electron:18.0.2
-
cpe:2.3:a:electronjs:electron:18.0.3
-
cpe:2.3:a:electronjs:electron:18.0.4
-
cpe:2.3:a:electronjs:electron:18.1.0
-
cpe:2.3:a:electronjs:electron:18.2.0
-
cpe:2.3:a:electronjs:electron:18.2.2
-
cpe:2.3:a:electronjs:electron:18.2.3
-
cpe:2.3:a:electronjs:electron:18.2.4
-
cpe:2.3:a:electronjs:electron:18.3.0
-
cpe:2.3:a:electronjs:electron:18.3.1
-
cpe:2.3:a:electronjs:electron:18.3.11
-
cpe:2.3:a:electronjs:electron:18.3.12
-
cpe:2.3:a:electronjs:electron:18.3.13
-
cpe:2.3:a:electronjs:electron:18.3.14
-
cpe:2.3:a:electronjs:electron:18.3.15
-
cpe:2.3:a:electronjs:electron:18.3.2
-
cpe:2.3:a:electronjs:electron:18.3.3
-
cpe:2.3:a:electronjs:electron:18.3.4
-
cpe:2.3:a:electronjs:electron:18.3.5
-
cpe:2.3:a:electronjs:electron:18.3.6
-
cpe:2.3:a:electronjs:electron:18.3.7
-
cpe:2.3:a:electronjs:electron:18.3.8
-
cpe:2.3:a:electronjs:electron:18.3.9
-
cpe:2.3:a:electronjs:electron:19.0.0
-
cpe:2.3:a:electronjs:electron:19.0.1
-
cpe:2.3:a:electronjs:electron:19.0.10
-
cpe:2.3:a:electronjs:electron:19.0.11
-
cpe:2.3:a:electronjs:electron:19.0.12
-
cpe:2.3:a:electronjs:electron:19.0.13
-
cpe:2.3:a:electronjs:electron:19.0.14
-
cpe:2.3:a:electronjs:electron:19.0.15
-
cpe:2.3:a:electronjs:electron:19.0.16
-
cpe:2.3:a:electronjs:electron:19.0.17
-
cpe:2.3:a:electronjs:electron:19.0.2
-
cpe:2.3:a:electronjs:electron:19.0.3
-
cpe:2.3:a:electronjs:electron:19.0.4
-
cpe:2.3:a:electronjs:electron:19.0.5
-
cpe:2.3:a:electronjs:electron:19.0.6
-
cpe:2.3:a:electronjs:electron:19.0.7
-
cpe:2.3:a:electronjs:electron:19.0.8
-
cpe:2.3:a:electronjs:electron:19.0.9
-
cpe:2.3:a:electronjs:electron:19.1.0
-
cpe:2.3:a:electronjs:electron:19.1.1
-
cpe:2.3:a:electronjs:electron:19.1.2
-
cpe:2.3:a:electronjs:electron:19.1.3
-
cpe:2.3:a:electronjs:electron:20.0.0
-
cpe:2.3:a:electronjs:electron:20.0.1
-
cpe:2.3:a:electronjs:electron:20.0.2
-
cpe:2.3:a:electronjs:electron:20.0.3
-
cpe:2.3:a:electronjs:electron:20.1.0
-
cpe:2.3:a:electronjs:electron:20.1.1
-
cpe:2.3:a:electronjs:electron:20.1.2
-
cpe:2.3:a:electronjs:electron:20.1.3
-
cpe:2.3:a:electronjs:electron:20.1.4
-
cpe:2.3:a:electronjs:electron:20.2.0
-
cpe:2.3:a:electronjs:electron:20.3.0
-
cpe:2.3:a:electronjs:electron:20.3.1
-
cpe:2.3:a:electronjs:electron:20.3.2
-
cpe:2.3:a:electronjs:electron:21.0.0
-
cpe:2.3:a:electronjs:electron:21.0.1
-
cpe:2.3:a:electronjs:electron:21.1.0
-
cpe:2.3:a:electronjs:electron:21.1.1
-
cpe:2.3:a:electronjs:electron:22.0.0
-
cpe:2.3:a:electronjs:electron:22.0.1
-
cpe:2.3:a:electronjs:electron:22.0.2
-
cpe:2.3:a:electronjs:electron:22.0.3
-
cpe:2.3:a:electronjs:electron:22.1.0
-
cpe:2.3:a:electronjs:electron:22.2.0
-
cpe:2.3:a:electronjs:electron:22.2.1
-
cpe:2.3:a:electronjs:electron:22.3.0
-
cpe:2.3:a:electronjs:electron:22.3.1
-
cpe:2.3:a:electronjs:electron:22.3.10
-
cpe:2.3:a:electronjs:electron:22.3.11
-
cpe:2.3:a:electronjs:electron:22.3.12
-
cpe:2.3:a:electronjs:electron:22.3.13
-
cpe:2.3:a:electronjs:electron:22.3.14
-
cpe:2.3:a:electronjs:electron:22.3.15
-
cpe:2.3:a:electronjs:electron:22.3.16
-
cpe:2.3:a:electronjs:electron:22.3.17
-
cpe:2.3:a:electronjs:electron:22.3.18
-
cpe:2.3:a:electronjs:electron:22.3.2
-
cpe:2.3:a:electronjs:electron:22.3.21
-
cpe:2.3:a:electronjs:electron:22.3.22
-
cpe:2.3:a:electronjs:electron:22.3.23
-
cpe:2.3:a:electronjs:electron:22.3.24
-
cpe:2.3:a:electronjs:electron:22.3.3
-
cpe:2.3:a:electronjs:electron:22.3.4
-
cpe:2.3:a:electronjs:electron:22.3.5
-
cpe:2.3:a:electronjs:electron:22.3.6
-
cpe:2.3:a:electronjs:electron:22.3.7
-
cpe:2.3:a:electronjs:electron:22.3.8
-
cpe:2.3:a:electronjs:electron:22.3.9
-
cpe:2.3:a:electronjs:electron:23.0.0
-
cpe:2.3:a:electronjs:electron:23.1.0
-
cpe:2.3:a:electronjs:electron:23.1.1
-
cpe:2.3:a:electronjs:electron:23.1.2
-
cpe:2.3:a:electronjs:electron:23.1.3
-
cpe:2.3:a:electronjs:electron:23.1.4
-
cpe:2.3:a:electronjs:electron:23.2.0
-
cpe:2.3:a:electronjs:electron:23.2.1
-
cpe:2.3:a:electronjs:electron:23.2.2
-
cpe:2.3:a:electronjs:electron:23.2.3
-
cpe:2.3:a:electronjs:electron:23.2.4
-
cpe:2.3:a:electronjs:electron:23.3.0
-
cpe:2.3:a:electronjs:electron:23.3.1
-
cpe:2.3:a:electronjs:electron:23.3.10
-
cpe:2.3:a:electronjs:electron:23.3.11
-
cpe:2.3:a:electronjs:electron:23.3.12
-
cpe:2.3:a:electronjs:electron:23.3.13
-
cpe:2.3:a:electronjs:electron:23.3.14
-
cpe:2.3:a:electronjs:electron:23.3.2
-
cpe:2.3:a:electronjs:electron:23.3.3
-
cpe:2.3:a:electronjs:electron:23.3.4
-
cpe:2.3:a:electronjs:electron:23.3.5
-
cpe:2.3:a:electronjs:electron:23.3.6
-
cpe:2.3:a:electronjs:electron:23.3.7
-
cpe:2.3:a:electronjs:electron:23.3.8
-
cpe:2.3:a:electronjs:electron:23.3.9
-
cpe:2.3:a:electronjs:electron:24.0.0
-
cpe:2.3:a:electronjs:electron:24.1.0
-
cpe:2.3:a:electronjs:electron:24.1.1
-
cpe:2.3:a:electronjs:electron:24.1.2
-
cpe:2.3:a:electronjs:electron:24.1.3
-
cpe:2.3:a:electronjs:electron:24.2.0
-
cpe:2.3:a:electronjs:electron:24.3.0
-
cpe:2.3:a:electronjs:electron:24.3.1
-
cpe:2.3:a:electronjs:electron:24.4.0
-
cpe:2.3:a:electronjs:electron:24.4.1
-
cpe:2.3:a:electronjs:electron:24.5.0
-
cpe:2.3:a:electronjs:electron:24.5.1
-
cpe:2.3:a:electronjs:electron:24.6.0
-
cpe:2.3:a:electronjs:electron:24.6.1
-
cpe:2.3:a:electronjs:electron:24.6.2
-
cpe:2.3:a:electronjs:electron:24.6.3
-
cpe:2.3:a:electronjs:electron:24.6.4
-
cpe:2.3:a:electronjs:electron:24.6.5
-
cpe:2.3:a:electronjs:electron:24.7.0
-
cpe:2.3:a:electronjs:electron:24.7.1
-
cpe:2.3:a:electronjs:electron:24.8.0
-
cpe:2.3:a:electronjs:electron:24.8.1
-
cpe:2.3:a:electronjs:electron:24.8.2
-
cpe:2.3:a:electronjs:electron:24.8.3
-
cpe:2.3:a:electronjs:electron:25.0.0
-
cpe:2.3:a:electronjs:electron:25.0.1
-
cpe:2.3:a:electronjs:electron:25.1.0
-
cpe:2.3:a:electronjs:electron:25.1.1
-
cpe:2.3:a:electronjs:electron:25.2.0
-
cpe:2.3:a:electronjs:electron:25.2.1
-
cpe:2.3:a:electronjs:electron:25.3.0
-
cpe:2.3:a:electronjs:electron:25.3.1
-
cpe:2.3:a:electronjs:electron:25.3.2
-
cpe:2.3:a:electronjs:electron:25.4.0
-
cpe:2.3:a:electronjs:electron:25.5.0
-
cpe:2.3:a:electronjs:electron:25.6.0
-
cpe:2.3:a:electronjs:electron:25.7.0
-
cpe:2.3:a:electronjs:electron:25.8.0
-
cpe:2.3:a:electronjs:electron:25.8.1
-
cpe:2.3:a:electronjs:electron:26.0.0
-
cpe:2.3:a:electronjs:electron:26.1.0
-
cpe:2.3:a:electronjs:electron:26.2.0
-
cpe:2.3:a:electronjs:electron:26.2.1
-
cpe:2.3:a:electronjs:electron:27.0.0
-
cpe:2.3:a:electronjs:electron:41.0.0