Electron : Injection d’en-tête de réponse HTTP (HTTP Response Header Injection) dans les gestionnaires de protocoles personnalisés et webRequest

### Impact Les applications qui enregistrent des gestionnaires de protocoles personnalisés via `protocol.handle()` / `protocol.registerSchemesAsPrivileged()` ou qui modifient les en-têtes de réponse via `webRequest.onHeadersReceived` peuvent être vulnérables à l’injection d’en-tête de réponse HTTP (HTTP Response Header Injection) si une entrée contrôlée par l’attaquant est reflétée dans un nom ou une valeur d’en-tête de réponse. Un attaquant qui peut influencer une valeur d’en-tête peut être en mesure d’injecter des en-têtes de réponse supplémentaires, affectant les cookies, la politique de sécurité du contenu ou les contrôles d’accès inter-origines. Les applications qui ne reflètent pas les entrées externes dans les en-têtes de réponse ne sont pas affectées. ### Solutions de contournement Validez ou désinfectez toute entrée non fiable avant de l’inclure dans un nom ou une valeur d’en-tête de réponse. ### Versions corrigées * `41.0.3` * `40.8.3` * `39.8.3` * `38.8.6` ### Pour plus d’informations Si vous avez des questions ou des commentaires concernant cet avis, envoyez un e-mail à [security@electronjs.org](mailto:security@electronjs.org)