प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34766, electron में select-usb-device इवेंट callback में एक भेद्यता है, जहाँ चुने गए डिवाइस ID को फ़िल्टर की गई सूची के विरुद्ध मान्य नहीं किया गया था। इसका प्रभाव यह है कि एक ऐप, जिसके हैंडलर को फ़िल्टर किए गए सेट के बाहर एक डिवाइस ID चुनने के लिए प्रभावित किया जा सकता है, उस डिवाइस तक पहुंच प्रदान करेगा जो renderer के अनुरोधित filters से मेल नहीं खाता है। यह भेद्यता electron के संस्करण 38.8.6 में ठीक की गई है।
CVE-2026-34766 Electron में WebUSB के माध्यम से USB उपकरणों को संभालने के तरीके को प्रभावित करता है। विशेष रूप से, select-usb-device इवेंट का कॉलबैक फ़ंक्शन हैंडलर को प्रस्तुत किए गए फ़िल्टर किए गए सूची के विरुद्ध चयनित डिवाइस ID को ठीक से मान्य नहीं करता था। इसने एक दुर्भावनापूर्ण एप्लिकेशन को, जो हैंडलर को प्रभावित करने में सक्षम है, एक डिवाइस ID का चयन करने की अनुमति दी जो रेंडरर के अनुरोधित filters से मेल नहीं खाती है या exclusionFilters सूची में सूचीबद्ध है। जबकि WebUSB सुरक्षा ब्लैकलिस्ट प्रभावी रही, संवेदनशील उपकरणों की रक्षा करती रही, यह भेद्यता अवांछित उपकरणों तक पहुंच की अनुमति देती है।
यदि कोई हमलावर Electron एप्लिकेशन के भीतर USB डिवाइस चयन को संभालने वाले कोड को नियंत्रित करने में सक्षम है, तो वह इस भेद्यता का शोषण कर सकता है। इसे दुर्भावनापूर्ण कोड इंजेक्शन या उपयोगकर्ता इनपुट हेरफेर के माध्यम से प्राप्त किया जा सकता है। फिर, हमलावर एक अनधिकृत USB डिवाइस का चयन कर सकता है, जिससे सिस्टम सुरक्षा खतरे में पड़ सकती है। शोषण की कठिनाई Electron एप्लिकेशन की जटिलता और लागू सुरक्षा उपायों पर निर्भर करती है।
Applications built with Electron that implement custom WebUSB device selection logic are at the highest risk. This includes applications that allow users to select devices from a list or dynamically configure device filters. Developers using older Electron versions and those who haven't reviewed their device selection code are also at increased risk.
• nodejs / supply-chain: Monitor Electron application processes for unusual USB device access patterns. Use Get-Process in PowerShell to check for Electron processes with unexpected device handles.
Get-Process | Where-Object {$_.ProcessName -like "electron*"} | ForEach-Object {
Get-Process -Id $_.Id | Select-Object DeviceHandles
}• linux / server: Examine system logs (journalctl) for errors or warnings related to WebUSB device access. Filter for messages containing "WebUSB" or "select-usb-device".
journalctl | grep "WebUSB" -idisclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (7% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को ठीक करने का तरीका Electron संस्करण 38.8.6 या उच्चतर में अपडेट करना है। यह अपडेट चयनित डिवाइस ID के सत्यापन को सख्त करता है, यह सुनिश्चित करता है कि यह निर्दिष्ट फ़िल्टर से मेल खाता है। डेवलपर्स को इस जोखिम को कम करने के लिए जल्द से जल्द अपने Electron अनुप्रयोगों को अपडेट करने की दृढ़ता से सलाह दी जाती है। इसके अतिरिक्त, अपने कोड की समीक्षा करें ताकि यह पता चल सके कि हमलावर डिवाइस चयन को कैसे प्रभावित कर सकता है।
Actualice Electron a la versión 38.8.6, 39.8.0, 40.7.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación de los ID de los dispositivos USB seleccionados, evitando el acceso a dispositivos no autorizados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
WebUSB एक वेब API है जो वेब एप्लिकेशन को उपयोगकर्ता के कंप्यूटर से जुड़े USB उपकरणों तक पहुंचने की अनुमति देता है।
यदि कोई दुर्भावनापूर्ण Electron एप्लिकेशन इस भेद्यता का शोषण करके अनधिकृत USB उपकरणों तक पहुंचता है, तो उपयोगकर्ता प्रभावित हो सकते हैं।
जल्द से जल्द अपने Electron एप्लिकेशन को संस्करण 38.8.6 या उच्चतर में अपडेट करें।
हाँ, WebUSB सुरक्षा ब्लैकलिस्ट अभी भी प्रभावी है और संवेदनशील उपकरणों की रक्षा करती है।
अधिक विवरण के लिए Electron सुरक्षा सलाहकार देखें: [Electron सुरक्षा सलाहकार लिंक]
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।