CVE-2026-26462Offline Hospital Management System 5.3.0版本存在严重的远程代码执行漏洞。该漏洞归因于Electron渲染器配置不当,具体表现为应用程序在禁用上下文隔离的同时错误地启用了Node.js集成。攻击者可利用此缺陷,通过在渲染器进程中注入恶意JavaScript代码,直接访问Node.js API并执行任意操作系统命令。该漏洞无需用户交互即可被利用,严重威胁系统的机密性、完整性和可用性。
该漏洞的核心原因在于Electron应用的安全配置错误。Electron框架为了安全性,默认推荐开启Context Isolation(上下文隔离)并谨慎使用Node.js Integration。然而,Offline Hospital Management System 5.3.0在配置时,虽然开启了Node.js集成(`nodeIntegration: true`),但却禁用了上下文隔离(`contextIsolation: false`)。这种配置组合打破了渲染进程与主进程之间的安全屏障。在正常情况下,渲染进程中的网页代码无法直接访问Node.js的操作系统级功能。但在该配置下,渲染器进程中运行的JavaScript可以随意访问`require`函数及其他Node.js内置模块(如`child_process`)。攻击者只需诱导受害者访问恶意链接或在该应用内执行特定脚本,即可调用`child_process.exec`等函数执行任意系统命令,从而完全控制服务器。