प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34767, protocol.handle() या webRequest.onHeadersReceived के माध्यम से कस्टम प्रोटोकॉल हैंडलर पंजीकृत करने वाले Electron ऐप्स को HTTP प्रतिक्रिया हेडर इंजेक्शन के लिए असुरक्षित बना सकता है। एक हमलावर हेडर मान को प्रभावित करके अतिरिक्त प्रतिक्रिया हेडर इंजेक्ट कर सकता है, जिससे कुकीज़ और सामग्री सुरक्षा नीतियां प्रभावित हो सकती हैं। यह भेद्यता उन ऐप्स को प्रभावित करती है जो बाहरी इनपुट को प्रतिक्रिया हेडर में दर्शाते हैं। संस्करण 38.8.6 में ठीक किया गया।
इलेक्ट्रॉन में CVE-2026-34767 भेद्यता उन अनुप्रयोगों को प्रभावित करती है जो कस्टम प्रोटोकॉल को संभालने के लिए protocol.handle() या protocol.registerSchemesAsPrivileged का उपयोग करते हैं, या प्रतिक्रिया शीर्षकों को संशोधित करने के लिए webRequest.onHeadersReceived का उपयोग करते हैं। यदि कोई एप्लिकेशन हमलावर-नियंत्रित इनपुट को HTTP प्रतिक्रिया शीर्षलेख नाम या मान में दर्शाता है, तो यह HTTP प्रतिक्रिया शीर्षलेख इंजेक्शन के लिए असुरक्षित हो सकता है। यह हमलावर को अतिरिक्त प्रतिक्रिया शीर्षलेखों को इंजेक्ट करने की अनुमति देता है, जिससे संभावित रूप से कुकीज़, सामग्री सुरक्षा नीति (CSP) या क्रॉस-ओरिजिन एक्सेस नियंत्रण (CORS) में हेरफेर किया जा सकता है। प्रभाव सत्र कुकीज़ के हेरफेर से लेकर एप्लिकेशन व्यवहार में परिवर्तन और संवेदनशील जानकारी के संभावित प्रकटीकरण तक हो सकता है।
यदि कोई हमलावर HTTP प्रतिक्रिया शीर्षकों के निर्माण के लिए उपयोग किए जाने वाले इनपुट को नियंत्रित कर सकता है, तो वह इस भेद्यता का फायदा उठा सकता है। यह विभिन्न तकनीकों के माध्यम से प्राप्त किया जा सकता है, जैसे कि URL पैरामीटर में हेरफेर करना, वेब फॉर्म में कोड इंजेक्ट करना या एप्लिकेशन के अन्य घटकों में कमजोरियों का फायदा उठाना। शोषण की सफलता हमलावर की प्रतिक्रिया शीर्षकों को उत्पन्न करने के लिए उपयोग किए जाने वाले डेटा को प्रभावित करने की क्षमता पर निर्भर करती है।
Applications built with Electron that register custom protocol handlers or modify response headers are at risk. This includes desktop applications, command-line tools, and web applications packaged as Electron apps. Shared hosting environments where multiple Electron applications share the same server resources are particularly vulnerable, as a compromise in one application could potentially affect others.
• linux / server: Monitor Electron application logs for unusual HTTP response headers. Use ss or lsof to identify processes handling network traffic and correlate with Electron application processes.
lsof -i :80 | grep electron• generic web: Use curl to inspect HTTP response headers from Electron applications. Look for unexpected or suspicious headers.
curl -I https://example.com/electron-app | grep -i 'header-name:'disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
CVSS वेक्टर
अनुशंसित समाधान इलेक्ट्रॉन को संस्करण 38.8.6 या उच्चतर में अपग्रेड करना है। इस संस्करण में भेद्यता के लिए एक सुधार शामिल है। इसके अतिरिक्त, प्रतिक्रिया शीर्षकों के निर्माण के लिए उपयोग किए जाने वाले किसी भी उपयोगकर्ता-प्रदत्त इनपुट को सख्ती से मान्य और सैनिटाइज करें। प्रतिक्रिया शीर्षलेख नामों या मानों में उपयोगकर्ता-नियंत्रित डेटा को सीधे जोड़ने से बचें। दुर्भावनापूर्ण वर्णों के इंजेक्शन को रोकने के लिए उचित एन्कोडिंग लागू करें। संभावित हमले के वेक्टरों की पहचान करने और कम करने के लिए एप्लिकेशन का गहन सुरक्षा परीक्षण करें।
Actualice Electron a la versión 38.8.6 o superior, 39.8.3 o superior, 40.8.3 o superior, o 41.0.3 o superior. Asegúrese de validar y sanitizar cualquier entrada controlada por el usuario antes de usarla en nombres o valores de encabezados de respuesta HTTP para evitar la inyección de encabezados.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इलेक्ट्रॉन HTML, CSS और JavaScript जैसी वेब तकनीकों का उपयोग करके क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप एप्लिकेशन बनाने के लिए एक फ्रेमवर्क है।
यह एक हमला तकनीक है जहां एक हमलावर HTTP प्रतिक्रिया में दुर्भावनापूर्ण HTTP शीर्षलेख सम्मिलित करता है, जिससे ब्राउज़र या एप्लिकेशन का व्यवहार बदल सकता है।
यदि आपका एप्लिकेशन protocol.handle() या protocol.registerSchemesAsPrivileged या webRequest.onHeadersReceived का उपयोग करता है और उपयोगकर्ता इनपुट को ठीक से मान्य नहीं करता है, तो यह असुरक्षित हो सकता है। कोड ऑडिट और सुरक्षा परीक्षण करें।
ऐसे स्थिर कोड विश्लेषण उपकरण हैं जो कमजोर कार्यों के उपयोग की पहचान करने में मदद कर सकते हैं। प्रवेश परीक्षण भी अनुशंसित है।
तुरंत इलेक्ट्रॉन को नवीनतम संस्करण में अपग्रेड करें। भेद्यता के कारण की जांच करें और आवश्यक सुधारात्मक उपाय करें। प्रभावित उपयोगकर्ताओं को सूचित करने पर विचार करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।