इलेक्ट्रॉन: बिना दस्तावेज़ वाले commandLineSwitches वेबप्रेफरेंस के माध्यम से रेंडरर कमांड-लाइन स्विच इंजेक्शन

इलेक्ट्रॉन में CVE-2026-34769 एक हमलावर को रेंडर प्रक्रिया कमांड लाइन में मनमाना स्विच इंजेक्ट करने की अनुमति देता है। यह एक अप्रलेखित commandLineSwitches webPreference के कारण होता है जो अतिरिक्त स्विच को जोड़ने की अनुमति देता है। जब इलेक्ट्रॉन एप्लिकेशन अविश्वसनीय कॉन्फ़िगरेशन ऑब्जेक्ट से अपने webPreferences का निर्माण करते हैं तो इस भेद्यता का फायदा उठाया जाता है। एक हमलावर इसका उपयोग रेंडरर सैंडबॉक्स या वेब सुरक्षा नियंत्रणों को अक्षम करने के लिए कर सकता है, जिससे मनमाना कोड निष्पादन या अनधिकृत डेटा एक्सेस हो सकता है। प्रभावित संस्करण 38.8.6, 39.8.0, 40.7.0 और 41.0.0-beta.8 से पहले के हैं। CVSS गंभीरता 7.8 है, जो उच्च जोखिम का संकेत देता है।

Applications built with Electron that dynamically construct webPreferences from external or untrusted sources are at significant risk. This includes applications that load configuration files from user-provided locations or integrate with third-party services without proper input validation. Shared hosting environments where multiple Electron applications share the same system resources are also particularly vulnerable.

• windows / supply-chain:

Get-Process | Where-Object {$_.ProcessName -like '*electron*'} | Select-Object -ExpandProperty CommandLine

• linux / server:

ps aux | grep electron | grep -- '--command-line-switches='

• generic web: Inspect Electron application startup arguments for suspicious or unexpected command-line switches using process monitoring tools.

1. 2026-04-03Disclosure

   disclosure

1. आरक्षित2026-03-30
2. प्रकाशित2026-04-03
3. संशोधित2026-04-08
4. EPSS अद्यतन2026-04-11

CVE-2026-34769 के लिए प्राथमिक शमन उपाय एक ऐसे इलेक्ट्रॉन संस्करण में अपडेट करना है जिसमें फिक्स शामिल है, विशेष रूप से 38.8.6 या बाद का संस्करण। यदि तत्काल अपडेट संभव नहीं है, तो webPreferences का निर्माण करने वाले कोड की सावधानीपूर्वक समीक्षा करें और सुनिश्चित करें कि अविश्वसनीय डेटा स्रोत का उपयोग नहीं किया जा रहा है। बाहरी स्रोतों से आने वाले webPreferences कॉन्फ़िगरेशन ऑब्जेक्ट का उपयोग करने से बचें बिना पूरी तरह से सत्यापन किए। webPreferences को कॉन्फ़िगर करने के लिए उपयोग किए जाने वाले किसी भी उपयोगकर्ता इनपुट के लिए सख्त सत्यापन लागू करने से दुर्भावनापूर्ण स्विच इंजेक्शन को रोकने में मदद मिल सकती है। संदिग्ध गतिविधि के लिए एप्लिकेशन लॉग की निगरानी भी संभावित हमलों का पता लगाने और उनका जवाब देने में मदद कर सकती है।