CVE-2026-34767 : Injection d'en-tête HTTP dans Electron ≤38.8.6
Plateforme
nodejs
Composant
electron
Corrigé dans
38.8.6
La vulnérabilité CVE-2026-34767 affecte les applications Electron qui enregistrent des gestionnaires de protocoles personnalisés ou modifient les en-têtes de réponse via `webRequest.onHeadersReceived`. Un attaquant peut injecter des en-têtes HTTP supplémentaires, compromettant la sécurité des cookies et la politique de sécurité du contenu. Les versions d'Electron affectées sont les versions inférieures ou égales à 38.8.6. Il n'y a pas de correctif officiel disponible pour cette vulnérabilité.
Comment corriger
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Questions fréquentes
Qu'est-ce que la vulnérabilité CVE-2026-34767 ?
CVE-2026-34767 est une vulnérabilité d'injection d'en-tête HTTP dans Electron, permettant à un attaquant d'influencer les en-têtes de réponse.
Suis-je concerné par CVE-2026-34767 ?
Vous êtes concerné si votre application Electron utilise `protocol.handle()` ou `webRequest.onHeadersReceived` et reflète des entrées externes dans les en-têtes de réponse. Les versions ≤38.8.6 sont affectées.
Comment corriger ou atténuer CVE-2026-34767 ?
Validez et désinfectez les entrées externes avant de les refléter dans les en-têtes de réponse. Aucune mise à jour de sécurité n'est actuellement disponible.
Surveillez vos dépendances automatiquement
Recevez des alertes quand de nouvelles vulnérabilités affectent vos projets.
Commencer gratuitement