CVE-2026-34767: Inyección de Headers HTTP en electron
Plataforma
nodejs
Componente
electron
La vulnerabilidad CVE-2026-34767 afecta a aplicaciones que registran manejadores de protocolo personalizados a través de `protocol.handle()` / `protocol.registerSchemesAsPrivileged()` o modifican las cabeceras de respuesta a través de `webRequest.onHeadersReceived`. Son vulnerables a la inyección de cabeceras HTTP si la entrada controlada por el atacante se refleja en un nombre o valor de cabecera de respuesta. Afecta versiones ≤38.8.6 de electron. No hay una solución oficial disponible en este momento.
Cómo corregirlo
Sin parche oficial disponible. Busca alternativas o monitorea actualizaciones.
Preguntas frecuentes
¿Qué es la vulnerabilidad CVE-2026-34767?
Es una vulnerabilidad en electron que permite la inyección de cabeceras HTTP si la entrada controlada por el atacante se refleja en un nombre o valor de cabecera de respuesta.
¿Estoy afectado por CVE-2026-34767?
Estás afectado si tu aplicación electron registra manejadores de protocolo personalizados o modifica las cabeceras de respuesta y refleja entradas externas en las cabeceras y usas versiones ≤38.8.6.
¿Cómo puedo solucionar o mitigar CVE-2026-34767?
Valida o escapa la entrada controlada por el usuario antes de reflejarla en las cabeceras de respuesta. Evita reflejar entradas externas directamente en las cabeceras.
Monitorea tus dependencias automáticamente
Recibe alertas cuando nuevas vulnerabilidades afecten tus proyectos. Gratis para siempre.
Comenzar gratis