CVE-2026-34773 : Vulnérabilité de détournement de protocole Electron
Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.6
La vulnérabilité CVE-2026-34773 affecte Electron sur Windows. Elle permet à un attaquant de potentiellement détourner des gestionnaires de protocoles existants en écrivant dans des sous-clés arbitraires sous `HKCU\Software\Classes\` via `app.setAsDefaultProtocolClient(protocol)` si le nom du protocole n'est pas validé. Les applications sont affectées si elles utilisent une entrée non fiable comme nom de protocole. La version 38.8.6 corrige cette vulnérabilité.
Comment corriger
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Questions fréquentes
Qu'est-ce que la vulnérabilité CVE-2026-34773 ?
CVE-2026-34773 est une vulnérabilité dans Electron qui permet à un attaquant de détourner des gestionnaires de protocoles sur Windows en manipulant le registre via la fonction `app.setAsDefaultProtocolClient()`.
Suis-je affecté par CVE-2026-34773 ?
Vous êtes affecté si votre application Electron sur Windows utilise la fonction `app.setAsDefaultProtocolClient()` avec un nom de protocole provenant d'une source non fiable ou d'une entrée utilisateur non validée.
Comment corriger ou atténuer CVE-2026-34773 ?
La vulnérabilité est corrigée dans la version 38.8.6 d'Electron. Mettez à jour Electron vers cette version ou validez le nom du protocole avec l'expression régulière `/^[a-zA-Z][a-zA-Z0-9+.-]*$/` avant de l'utiliser.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement