Plattform
nodejs
Komponente
electron
Behoben in
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34767 describes an HTTP response header injection vulnerability affecting Electron applications. Specifically, apps using protocol.handle() or webRequest.onHeadersReceived are vulnerable if attacker-controlled input is reflected into response headers. Successful exploitation allows attackers to inject arbitrary headers, potentially modifying cookies, content security policy, or cross-origin access controls. This affects Electron versions up to and including 38.8.6. No official patch is currently available.
Die CVE-2026-34767-Schwachstelle in Electron betrifft Anwendungen, die protocol.handle() oder protocol.registerSchemesAsPrivileged verwenden, um benutzerdefinierte Protokolle zu verarbeiten, oder webRequest.onHeadersReceived, um Antwort-Header zu modifizieren. Wenn eine Anwendung eine vom Angreifer kontrollierte Eingabe in den Namen oder Wert eines HTTP-Antwort-Headers reflektiert, kann sie anfällig für HTTP-Antwort-Header-Injection sein. Dies ermöglicht einem Angreifer, zusätzliche Antwort-Header einzufügen, wodurch möglicherweise Cookies, die Content Security Policy (CSP) oder Cross-Origin Access Controls (CORS) manipuliert werden. Die Auswirkungen können von der Manipulation von Session-Cookies bis hin zur Änderung des Anwendungsverhaltens und der möglichen Offenlegung sensibler Informationen reichen.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er die Eingabe kontrollieren kann, die zum Erstellen der HTTP-Antwort-Header verwendet wird. Dies kann durch verschiedene Techniken erreicht werden, wie z. B. die Manipulation von URL-Parametern, das Einfügen von Code in Webformulare oder die Ausnutzung von Schwachstellen in anderen Anwendungskomponenten. Der Erfolg der Ausnutzung hängt von der Fähigkeit des Angreifers ab, die Daten zu beeinflussen, die zum Generieren der Antwort-Header verwendet werden.
Applications built with Electron that register custom protocol handlers or modify response headers are at risk. This includes desktop applications, command-line tools, and web applications packaged as Electron apps. Shared hosting environments where multiple Electron applications share the same server resources are particularly vulnerable, as a compromise in one application could potentially affect others.
• linux / server: Monitor Electron application logs for unusual HTTP response headers. Use ss or lsof to identify processes handling network traffic and correlate with Electron application processes.
lsof -i :80 | grep electron• generic web: Use curl to inspect HTTP response headers from Electron applications. Look for unexpected or suspicious headers.
curl -I https://example.com/electron-app | grep -i 'header-name:'disclosure
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Lösung ist ein Upgrade auf Electron Version 38.8.6 oder höher. Diese Version enthält eine Korrektur für die Schwachstelle. Validieren und bereinigen Sie außerdem rigoros alle vom Benutzer bereitgestellten Eingaben, die zur Erstellung von Antwort-Headern verwendet werden. Vermeiden Sie die direkte Verkettung von benutzerkontrollierten Daten in Header-Namen oder -Werten. Implementieren Sie eine geeignete Kodierung, um die Injektion von bösartigen Zeichen zu verhindern. Führen Sie gründliche Sicherheitstests der Anwendung durch, um potenzielle Angriffspunkte zu identifizieren und zu mildern.
Actualice Electron a la versión 38.8.6 o superior, 39.8.3 o superior, 40.8.3 o superior, o 41.0.3 o superior. Asegúrese de validar y sanitizar cualquier entrada controlada por el usuario antes de usarla en nombres o valores de encabezados de respuesta HTTP para evitar la inyección de encabezados.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Electron ist ein Framework zum Erstellen von plattformübergreifenden Desktop-Anwendungen mit Webtechnologien wie HTML, CSS und JavaScript.
Es ist eine Angriffstechnik, bei der ein Angreifer bösartige HTTP-Header in eine HTTP-Antwort einfügt, was das Verhalten des Browsers oder der Anwendung verändern kann.
Wenn Ihre Anwendung protocol.handle(), protocol.registerSchemesAsPrivileged oder webRequest.onHeadersReceived verwendet und die Benutzereingabe nicht ordnungsgemäß validiert, ist sie möglicherweise anfällig. Führen Sie eine Code-Überprüfung und Sicherheitstests durch.
Es gibt Tools zur statischen Codeanalyse, die helfen können, die Verwendung anfälliger Funktionen zu identifizieren. Penetrationstests werden ebenfalls empfohlen.
Aktualisieren Sie sofort auf die neueste Version von Electron. Untersuchen Sie die Ursache der Schwachstelle und wenden Sie die erforderlichen Korrekturmaßnahmen an. Erwägen Sie, betroffene Benutzer zu benachrichtigen.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.