प्लेटफ़ॉर्म
nodejs
घटक
electron
में ठीक किया गया
38.8.7
39.0.1
40.0.1
41.0.1
38.8.6
CVE-2026-34768, Electron में एक भेद्यता है जहाँ app.setLoginItemSettings({openAtLogin: true}) विंडोज पर निष्पादन योग्य पथ को बिना उद्धरण के Run रजिस्ट्री कुंजी में लिखता है। यदि ऐप रिक्त स्थान वाले पथ पर स्थापित है, तो हमलावर लॉगिन पर एक अलग निष्पादन योग्य चला सकता है। यह भेद्यता संस्करण 38.8.6 में ठीक की गई है।
CVE-2026-34768 विंडोज पर इलेक्ट्रॉन को प्रभावित करता है। app.setLoginItemSettings({openAtLogin: true}) फ़ंक्शन Run रजिस्ट्री कुंजी में निष्पादन योग्य फ़ाइल पथ को उद्धरण चिह्नों का उपयोग किए बिना लिखता है। इसका मतलब है कि यदि एप्लिकेशन एक ऐसे पथ पर स्थापित है जिसमें रिक्त स्थान हैं, तो एक हमलावर जो पैरेंट निर्देशिका में लिखने की पहुंच रखता है, वह लॉग इन करने पर इच्छित एप्लिकेशन के बजाय किसी अन्य निष्पादन योग्य फ़ाइल को चलाने में सक्षम हो सकता है। यह भेद्यता विंडोज रजिस्ट्री में रिक्त स्थान वाले पथों के अनुचित प्रबंधन के कारण होती है, जो वैध निष्पादन योग्य फ़ाइल को प्रतिस्थापित करने की अनुमति देती है। मानक सिस्टम निर्देशिकाएँ आमतौर पर मानक उपयोगकर्ताओं द्वारा लेखन से सुरक्षित होती हैं, लेकिन इस भेद्यता का शोषण करने के लिए आमतौर पर एक गैर-मानक स्थापना या उन्नत विशेषाधिकारों की आवश्यकता होती है।
इस भेद्यता का शोषण करने के लिए, एक हमलावर को इलेक्ट्रॉन एप्लिकेशन की स्थापना पथ के पैरेंट निर्देशिका में लिखने में सक्षम होना चाहिए। मानक विंडोज वातावरण में, सुरक्षा सुरक्षा के कारण यह असंभव है। हालाँकि, यदि एप्लिकेशन एक गैर-मानक स्थान पर स्थापित है, या यदि हमलावर ने सिस्टम पर व्यवस्थापक पहुंच प्राप्त कर ली है, तो शोषण अधिक संभव हो जाता है। हमलावर इलेक्ट्रॉन एप्लिकेशन के समान नाम वाली एक दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल बना सकता है और इसे एक सुलभ निर्देशिका में रख सकता है, और फिर Run रजिस्ट्री कुंजी को इस दुर्भावनापूर्ण निष्पादन योग्य फ़ाइल की ओर इंगित करने के लिए संशोधित कर सकता है। लॉग इन करने पर, वैध इलेक्ट्रॉन एप्लिकेशन के बजाय, दुर्भावनापूर्ण कोड निष्पादित किया जाएगा।
एक्सप्लॉइट स्थिति
EPSS
0.01% (2% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-34768 का समाधान इलेक्ट्रॉन को संस्करण 38.8.6 या उच्चतर में अपडेट करना है। यह संस्करण Run रजिस्ट्री कुंजी में निष्पादन योग्य फ़ाइल पथों को सही ढंग से लिखा जाना सुनिश्चित करके भेद्यता को ठीक करता है, जिसमें रिक्त स्थान वाले पथों को संभालने के लिए उद्धरण चिह्नों का उपयोग शामिल है। लॉग इन करने पर अनधिकृत कोड निष्पादन के जोखिम को कम करने के लिए जितनी जल्दी हो सके इस अपडेट को लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, इलेक्ट्रॉन एप्लिकेशन स्थापना निर्देशिकाओं में लेखन अनुमतियों की जांच करें ताकि केवल अधिकृत उपयोगकर्ताओं को लॉग इन सेटिंग्स बदलने की अनुमति मिल सके। अपडेट सबसे प्रभावी निवारक उपाय है।
Actualice Electron a la versión 38.8.6, 39.8.1, 40.8.0 o 41.0.0-beta.8 o superior para mitigar la vulnerabilidad. Esta actualización corrige la falta de comillas en la ruta del ejecutable al registrar el elemento de inicio de sesión en Windows, previniendo la ejecución de ejecutables maliciosos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
इलेक्ट्रॉन HTML, CSS और JavaScript जैसी वेब तकनीकों का उपयोग करके क्रॉस-प्लेटफ़ॉर्म डेस्कटॉप एप्लिकेशन बनाने के लिए एक फ़्रेमवर्क है।
यह अपडेट एक सुरक्षा भेद्यता को ठीक करता है जो एक हमलावर को लॉग इन करने पर दुर्भावनापूर्ण कोड निष्पादित करने की अनुमति दे सकता है।
अगर आप तुरंत अपडेट नहीं कर सकते हैं, तो इलेक्ट्रॉन एप्लिकेशन की स्थापना निर्देशिका में लेखन अनुमतियों को प्रतिबंधित करने पर विचार करें।
यह भेद्यता उन इलेक्ट्रॉन एप्लिकेशन को प्रभावित करती है जो app.setLoginItemSettings({openAtLogin: true}) फ़ंक्शन का उपयोग करते हैं और विंडोज पर रिक्त स्थान वाले पथों पर स्थापित हैं।
आप इलेक्ट्रॉन सुरक्षा सलाहकार और CVE जैसे भेद्यता डेटाबेस में इस भेद्यता के बारे में अधिक जानकारी प्राप्त कर सकते हैं।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।