CVE-2026-34773: Validación de protocolo incorrecta en Electron
Plataforma
nodejs
Componente
electron
La vulnerabilidad CVE-2026-34773 en Electron permite la escritura en subclaves arbitrarias del registro de Windows. Esto ocurre porque `app.setAsDefaultProtocolClient(protocol)` no valida el nombre del protocolo. Afecta a versiones ≤38.8.6. No hay parche oficial disponible.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34773?
Es una vulnerabilidad en Electron que permite la escritura en el registro de Windows al no validar el nombre del protocolo en `app.setAsDefaultProtocolClient(protocol)`.
¿Estoy afectado por CVE-2026-34773?
Estás afectado si usas Electron versión 38.8.6 o anterior en Windows y tu aplicación llama a `app.setAsDefaultProtocolClient()` con un nombre de protocolo derivado de una fuente no confiable.
¿Cómo puedo solucionar o mitigar CVE-2026-34773?
No hay una solución oficial. Como mitigación, valida que el nombre del protocolo coincida con la expresión regular `/^[a-zA-Z][a-zA-Z0-9+.-]*$/` antes de pasarlo a `app.setAsDefaultProtocolClient()`.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis